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Editorial 


Bild: iStock | MarioGuti 


Das letzte DANA-Heft widmete sich den Erwartungen an die neue deutsche Daten- 
schutzpolitik. Das Heft 1/2022 hat die Versprechungen zum Thema, die jetzt gemacht 
werden. Ob dann „geliefert“ wird, werden wir in den nächsten 3 Y Jahren sehen - 
mehr Zeit bleibt nicht mehr. Um die Versprechungen sofort griffbereit zu haben, wenn 
es mit der „Lieferung“ hapert, dokumentiert das Heft die relevanten Passagen des 
Koalitionsvertrags der rot-grün-gelben Koalition. Eine Analyse des Koalitionsvertrags 
begründet in Sachen Datenschutz ein wenig Optimismus, ist dann aber angesichts 
vieler Lücken und Fragezeichen ernüchternd, wie Thilo Weichert aufzeigt. Die Ampel 
scheint willig zu sein, doch ist ein Plan noch nicht so richtig zu erkennen. Ein Beispiel 
hierfür ist die bisherige föderale Datenschutzorganisation, der sich Markus Schröder 
widmet. NGOs wie die Deutsche Vereinigung für Datenschutz haben die wichtige Funk- 
tion beim Liefern nachzuhelfen - durch die Politik anregende Initiativen und, wenn 
nötig, kritische Kommentare. 


Den Niederungen der konkreten Umsetzung von Digitalpolitik widmen sich Elias Zim- 
mermann in Bezug auf die sicherheitsrechtlich motivierten Bestandsdatenauskunfts- 
ersuchen und Klaus-Jürgen Roth in Bezug die Einhegung von Telegram, wo sich allzu 
viele Idioten, Hetzer und Kriminelle tummeln. Eine Darstellung landesverfassungs- 
rechtlicher Rechtsprechung im Sicherheitsbereich durch Arnold von Bosse rundet den 
redaktionellen Teil des vorliegenden Heftes ab. 


Für Viele ist die DANA wichtig, weil sie eine Fundgrube für Meldungen über Entwick- 
lungen und Fakten aus Deutschland und der ganzen Welt ist. Die DANA hat es sich zur 
Aufgabe gemacht insofern verlässliche Informationen aus den Tagesmedien und von 
der Gerichtsbarkeit aufgearbeitet zur Verfügung zu stellen. 


Die DVD als NGO sieht (vor allen Dingen auch mit der DANA) einen Auftrag darin die 
Szene der Datenschützerinnen und Datenschützer in Stadt und Land nicht nur zu be- 
reichern und zu unterstützen, sondern diesen auch Motivator und Sprachrohr zu sein. 
Insofern mögen sich die Lesenden auch zum Schreiben angeregt sehen: Das nächs- 
te Heft hat als Schwerpunkt „Social Media“. Wer hierzu etwas Wichtiges beitragen 
möchte, ist eingeladen uns dies mitzuteilen bis zum nächsten Redaktionsschluss am 
1. Mai 2022. Auch Reaktionen auf unsere bisherigen Publikationen sind natürlich 
herzlich willkommen. 
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Thilo Weichert 


Digitalisierung und Datenschutzpolitik im Bund - 


bis 2025 


Neuanfang 


Nach 16 Jahren CDU/CSU-dominierter 
Bundespolitik steht Deutschland mit der 
neuen Rot-grün-gelben Mehrheit im 
Bundestag und einer von der Ampelko- 
alition getragenen Regierung an einem 
Neuanfang - in fast allen Politikberei- 
chen. Dies gilt auch für den Datenschutz 
und die damit eng zusammenhängende 
Digitalisierungspolitik. In den letzten 
16 Jahren kamen von der Bundespo- 
litik beim Datenschutz sowie generell 
zugunsten eines digitalen Grundrechts- 
schutzes keine neuen Impulse. Es wur- 
den Initiativen Europas und - so selten 
diese waren - des Bundesrates ausge- 
bremst, wenn damit zwecks Schutz der 
informationellen Selbstbestimmung 
Zumutungen für die Verwaltung oder 
die Wirtschaft verbunden gewesen wä- 
ren. In deren Interesse wurden Schutz- 
mechanismen geschleift. Für den Da- 
tenschutz erfolgten keine signifikanten 
Investitionen. Datenschutz eignete sich 
vor allem als Prügelknabe für verpasste 
Digitalisierungschancen, unterbliebene 
Innovation, administrative Untätigkeit 
und illegale Cyberaktivitäten. 

So liegen nun viele Erwartungen auf 
den Schultern der neuen Regierung und 
den neuen parlamentarischen Mehrhei- 
ten. Die Rahmenbedingungen sind auch 
ermutigend: die Politik ist jünger, diver- 
ser, grundrechts- und werteorientierter, 
digital kompetenter und sozialer als 
zuvor.'! Dies begründet Hoffnungen für 
die nächsten vier Jahre Bundespolitik. 
Doch diese Hoffnung besteht nicht nur 
hinsichtlich des Datenschutzes, son- 
dern in fast allen Lebensbereichen, so 
dass schon ein übergeordneter Blick er- 
nüchtert: Geht esnach der SPD, so steht 
soziale Gerechtigkeit im Vordergrund; 
bei den Grünen sind dies Ökologie und 
Klimaschutz; und der FDP geht es um 
die Wahrung der Privilegien der ökono- 
mischen Elite. Datenschutz ist für keine 
der Parteien ein Topthema. 


Dass v.a. FDP und Grüne im Wahl- 
kampf „Digitalisierung“ als Buzzword 
nutzten, muss für den digitalen Grund- 
rechtsschutz noch nichts bedeuten: 
Die Erinnerung ist noch lebendig an 
das FDP-Motto aus 2017 „Digitalisie- 
rung first - Bedenken second“. Wen 
anderes als den Datenschutz meinte die 
FDP, wenn sie Bedenken zurückstellen 
wollte? Wenig ermutigend ist auch ein 
Blick auf die Regierungspolitik in den 
Bundesländern, wo die Grünen oder 
die FDP vertreten waren oder sind. Da- 
tenschutz spielte und spielt dort keine 
oder nur eine untergeordnete Rolle, so 
etwa mit grüner Beteiligung in Hessen 
und Baden-Württemberg oder mit den 
Liberalen in Nordrhein-Westfalen. In 
Sachsen-Anhalt wurde mit grüner Re- 
gierungsbeteiligung der Datenschutz 
rechtlich und personell über Jahre hin- 
weg untergebuttert.” Zwar gab es die 
eine oder andere positive Initiative, 
etwa über die Blockadeposition der Grü- 
nen im Bundesrat, doch wurde diese nur 
sehr zurückhaltend beim Datenschutz 
eingesetzt. 


Koalitionsvereinbarung generell 


Für die Koalitionsvereinbarung der 
Ampel sind die Themen nun relevant: 
„Digital“ kommt dort - in verschiede- 
nen Variationen - 188-mal vor, „Daten- 
schutz” immerhin 13-mal. Doch ist die 
Suche nach einem grundrechtsbasier- 
ten Digitalisierungs- oder einem Daten- 
schutzkonzept wenig ergiebig. In vielen 
Passagen der Vereinbarung finden sich 
Schnipsel, die hierzu einen Beitrag leis- 
ten können. Und es steht nichts im Ko- 
alitionsvertrag, was zu einer digitalen 
Grundrechtspolitik in einem klaren Wi- 
derspruch stünde. Aber von einem Kon- 
zept kann keine Rede sein. Diesist nicht 
nur daraufzurückzuführen, dass die Ko- 
alitionsvereinbarung ein Kompromissist 
und in Eile zusammengeschrieben wer- 
den musste. Diese Konzeptionslosigkeit 


liegt auch daran, dass keiner der drei 
Partner wirklich ein Konzept für einen 
digitalen Grundrechtsschutz hat. Zwar 
haben es die Begriffe „digitale Bürger- 
rechte” (S. 16) sowie „Internetfreiheit 
und digitale Menschenrechte“ (S. 147) 
in das Koalitionspapier geschafft. Doch 
scheint vergessen, dass Vertreter aller 
an der aktuellen Regierung beteiligten 
Parteien gemeinsam den Entwurf einer 
europäischen Digitalen Grundrechte- 
Charta verantworteten.’ 


Komplexer digitaler Grundrechts- 
schutz 


Das Problem bei der Erarbeitung eines 
Konzeptes eines digitalen Grundrechts- 
schutzes besteht darin, dass dieses aus 
einer Vielzahl von Elementen bestehen 
muss. Es geht nicht nur um „informati- 
onelle Selbstbestimmung“ im Sinne der 
Volkszählungsentscheidung des Bun- 
desverfassungsgerichts aus dem Jahr 
1983‘, sondern auch um Verbraucher- 
schutz, Datensicherheit, Wettbewerbs- 
regulierung, Verteidigung der digitalen 
Meinungsfreiheit, Beschäftigtenrechte, 
Minderheitenschutz, demokratische 
Transparenz, Kriminalitätsbekämpfung. 
Es geht oft zugleich um Datennutzung 
und Datenschutz, so etwa bei der For- 
schung, vor allem im Medizinbereich, 
bei der Informationsfreiheit im Interes- 
se administrativer und wirtschaftlicher 
Kontrollierbarkeit, oder bei der Statistik 
im Interesse politischer Planung. Und 
jede der Grundrechtsanliegen, zu denen 
es jeweils einen umfangreichen Geset- 
zesrahmen gibt, hat nicht nur eine na- 
tionale, sondern auch eine europäische 
und oft sogar eine globale Dimension. 

Auch die Organisation des digitalen 
Grundrechtsschutzes ist komplex. Es gibt 
da die unabhängigen Datenschutzbe- 
auftragten. Diese sind Mosaiksteine ei- 
nes größeren, teils noch sehr heterogen 
erscheinenden Ensembles.’ Diese Ge- 
samtheit enthält Teile, die dem Daten- 
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schutz nahe stehen, etwa die Verbrau- 
cherschutzorganisationen oder die Ar- 
beitnehmervertretungen. Dann gibt es 
Stellen mit geringen organisatorischen 
Überschneidungen zum Datenschutz, 
bei denen aber eine größere Nähe wün- 
schenswert ist, etwa das Bundesamt 
für die Sicherheit in der Informations- 
technik (BSI). Marktregulierungs- und 
Wettbewerbsbehörden auf Bundes- und 
Europaebene beginnen derzeit den Ver- 
braucher- und den Datenschutz zu ent- 
decken. Wenig im Blickfeld steht bisher 
die Medienaufsicht, die das Anliegen 
der Meinungsfreiheit, desJugendschut- 
zes und des demokratischen Diskurses 
mit Digitalmedien verfolgt. Ins Gesamt- 
bild gehören zudem die Behörden der 
Strafverfolgung und Gefahrenabwehr, 
die gefordert sind, wenn es um kurzfris- 
tiges Eingreifen oder um das Sanktionie- 
ren wegen Verstößen gegen den Daten- 
schutz, das allgemeine Persönlichkeits- 
recht oder sonstige Grundrechte geht. 
Bei Polizei und Staatsanwaltschaften, 
die durchsuchen, beschlagnahmen, 
vernehmen, fahnden und verhaften 
(lassen), liegen Grundrechtsschutz und 
Grundrechtseingriffe nahe beieinander. 

Diese Stellen in eine neue technik-, 
gesellschafts- und grundrechtsadäqua- 
te Ordnung zu bringen, ist eine schwie- 
rige Aufgabe. Angesichts möglicher 
Grundrechtskonkurrenzen bleibt es 
sinnvoll verschiedene Institutionen zu 
beauftragen, die ihre jeweilige spezifi- 
sche Kompetenz zur Geltung bringen. 
Sie haben dabei sowohl eine gesell- 
schaftliche als auch regelmäßig eine 
individualrechtsschützende Funktion. 
Um diese Aufgabe frei von sachfremden, 
z.B. partei- oder wirtschaftspolitischen 
Interessen wahrnehmen zu können, 
ist die rechtliche Absicherung einer 
unabhängigen Aufgabenwahrnehmung 
wichtig. Diese wird im Koalitionsvertrag 
dem Bundesamt für die Sicherheit in 
der Informationstechnik (BSI) zugesagt 
(S. 16). Der Europäische Gerichtshof 
(EuGH) hat eine größere Unabhängig- 
keit der Bundesnetzagentur eingefor- 
dert‘, dies zuvor auch schon für die 
Staatsanwaltschaften in Deutschland.’ 
Zugleich muss aber auch eine hinrei- 
chende Kontrolle gewährleistet sein, 
was zum einen größtmögliche Trans- 
parenz wie auch die Einbindung in ein 
„Check and Balances” erfordert. Sowohl 
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hinsichtlich der Unabhängigkeit als 
auch der Transparenz bestehen Defizi- 
te, etwa beim BSI, das umfassend in die 
Dienst- und Rechtsaufsicht des Innen- 
ministeriums eingebunden ist, oder bei 
den Staatsanwaltschaften mit ihrer Ein- 
bindung in die Justizverwaltung. 


Datenschutz national 


Das Thema Datenschutz wird in der 
Koalitionsvereinbarung nicht in einem 
Kapitel, sondern in unterschiedlichen 
Fachkapiteln behandelt, die nicht auf- 
einander Bezug nehmen und die kein 
einheitliches Konzept erkennen las- 
sen. Übergreifende Datenschutzthe- 
men werden nicht, spezifische Frage- 
stellungen werden selektiv behandelt. 
So wird die Stärkung des Bundesbeauf- 
tragten für den Datenschutz (BfDI) nur 
im Polizeikontext adressiert (S. 104). 
Die zentrale Frage, die für die Zukunft 
des Datenschutzes wesentlich ist, wie 
die Datenschutzaufsicht im föderalen 
Bundesstaat als Teil einer europäischen 
Struktur gestaltet werden soll, wird 
mit einem Satz abgehandelt (S. 17).° 

Die Potenziale der Datenschutzzerti- 

fizierung und deren Förderung finden 
keine Erwähnung. Die große Koaliti- 
on hat in Umsetzung der DSGVO ein 
Bundesdatenschutzgesetz (BDSG) in 
Kraft gesetzt, das in vieler Hinsicht die 
DSGVO konterkariert oder zumindest 
zu konterkarieren versucht. Ein Be- 
kenntnis, dass diese Fehler bereinigt 
werden sollen, fehlt.? 

Die Absicht ein Beschäftigtendaten- 
schutzgesetz zu verabschieden, wird in 
einem Satz formuliert (S. 17). Der dazu 
eingerichtete Beirat beim Arbeitsmi- 
nisterium, der noch vor der Bundes- 
tagswahl im Sommer 2021 seine Emp- 
fehlungen veröffentlichen sollte’, hat 
am 17.01.2022 seine Ergebnisse zur 
Verfügung gestellt.!! Im Beirat hat sich 
die seit Jahrzehnten praktizierte Stra- 
tegie der Arbeitgeberseite wieder be- 
stätigt: Mitdiskutieren und Ergebnisse 
sabotieren. Ob diese Strategie auch bei 
der Ampel erfolgreich sein wird, hängt 
wohl vor allem von der Rolle der FDP 
ab, die Farbe bekennen muss, was ihr 
wichtiger ist: Unternehmensinteressen 
oder Bürgerrechte. 

Verblüffend ist, dass das Thema „IT- 
Sicherheit” im gleichen Kapitel mit den 


Bürgerrechten behandelt wird. Diese 
Zuordnung ist zwar für Datenschützer 
nichts Neues, für die deutsche Politik 
wäre es dies aber wohl. Bisher wurde 
IT-Sicherheit eher als klassische Ge- 
fahrenabwehr in einem polizeilichen 
Sinne verstanden. „Security-by-design/ 
default” (S. 16) erinnert an die entspre- 
chenden Privacy-Mechanismen. Dass ein 
defensiver Ansatz verfolgt wird und nicht 
ein aggressiver, wie wir ihn z.B. aus den 
US-amerikanischen IT-Sicherheitsstra- 
tegien kennen, zeigt sich darin, dass 
„Hackbacks” als Mittel der Cyberabwehr 
abgelehnt werden (S. 16). 

Die Überarbeitung des verfassungs- 
und europarechtswidrigen Daten- 
schutzes im Ausländerbereich wird über- 
haupt nicht erwähnt, auch nicht im 
Kontext der Registermodernisierung 
die überfällige Reform des Ausländer- 
zentralregisters.'? 


Sicherheitsrecht 


In Bezug auf die „innere Sicherheit” 
finden sich viele positive Ansätze. 
Dies beginnt mit der Etablierung von 
Polizeibeauftragten, der Einführung 
pseudonymer Kennzeichnungen von 
Polizistinnen und Polizisten und geht 
bis zum Ausbau der sicherheitsbehörd- 
lichen IT ($. 104). Unter der Überschrift 
„Freiheit und Sicherheit” wird eine Eva- 
luierung der Sicherheitsgesetze durch 
ein „unabhängiges Expertengremium 
(Freiheitskommission)” angekündigt. 
Bis Ende 2023 soll dann eine vom Bun- 
desverfassungsgericht geforderte Über- 
wachungsgesamtrechnung'® vorgelegt 
werden. Flächendeckende Videoüber- 
wachung und der Einsatz von biome- 
trischer Erfassung zu Überwachungs- 
zwecken werden abgelehnt. „Das Recht 
auf Anonymität sowohl im öffentlichen 
Raum als auch im Internet ist zu ge- 
währleisten.“ Die Vorratsspeicherung 
soll „rechtssicher anlassbezogen” gere- 
gelt werden'‘; mit der Login-Falle soll 
grundrechtsschonend ermittelt werden. 
Ermittlungszwecke rechtfertigen keine 
IT-Sicherheitslücken. Anders als in der 
Vergangenheit, als Sicherheitsgesetze 
immer wieder wegen Verfassungswid- 
rigkeit überarbeitet werden mussten, 
sollen besondere Ermittlungsmaßnah- 
men wie z.B. die Quellen-TKÜ oder die 
Online-Untersuchung „nach den Vor- 


gaben des Verfassungsgerichts” ausge- 
staltet werden (S. 108 f.). Dafür soll das 
Sicherheitsrecht generell umfassend re- 
formiert werden (S. 110). 

Die Bundesregierung stellt sich damit 
einer Mammutaufgabe. Das Sicherheits- 
recht des Bundes umfasst die Normen 
für die Bundespolizei", das Bundeskri- 
minalamt und die drei Bundesgeheim- 
dienste sowie für weitere Einrichtun- 
gen wie u.a. das Zollkriminalamt, ZiTis. 
Hinzu kommt die Strafprozessordnung. 
Angesichts der hierzu vorhandenen 
detaillierten Verfassungsgerichtsrecht- 
sprechung sind die inhaltlichen Vor- 
gaben als äußerer Rahmen relativ klar 
konturiert. Doch hinsichtlich der poli- 
tischen Spielräume besteht genügend 
Raum für politische Konflikte, etwa 
wenn es um eine verbesserte Kontrolle 
der Geheimdienste geht. Die zuständi- 
gen MinisterInnen, Marco Buschmann 
(FDP) und Nancy Faeser (SPD) dürften 
voll hinter den im Koalitionsvertrag ver- 
abredeten Zielen stehen. Es wird aber 
heftige Widerstände geben, nicht nur 
von der AfD und von CDU/CSU, sondern 
aus dem Apparat, aus den nachgeord- 
neten Bundesbehörden wie aus den Mi- 
nisterien selbst, insbesondere aus dem 
bisher durchgängig von der CDU/CSU 
bestimmten und personell besetzten In- 
nenministerium. 

Gespannt sein kann man bei der Geld- 
wäschebekämpfung, wofür das FDP-ge- 
führte Finanzministerium den Hut auf 
hat (S.166). Dabei geht es nicht nur um 
die Behebung der Gesetzgebungsdefizi- 
te, sondern ebenso der Vollzugsmängel. 
Für diese Defizite war und ist der Daten- 
schutz nicht verantwortlich. Die State- 
ments der politisch Verantwortlichen 
hatten bisher mit der administrativen 
Praxis wenig gemein. Hier besteht die 
Chance eines hohen „Return of Invest- 
ment”, ebenso wie bei der Bekämpfung 
der Steuerkriminalität (S. 167). Zu- 
gleich ist hier die Unternehmenslobby 
besonders agil und war bisher erfolg- 
reich. Diese Themen werden zu einer 
Nagelprobe, ob es die Ampel tatsächlich 
schafft, Deutschland vom Image einer 
Bananenrepublik zu befreien. 


eGovernment 


Hinsichtlich der Digitalisierung der 
Verwaltung sind positive Ansätze zu 


erkennen. Die Wirklichkeit ist noch 
weit von den politisch formulierten An- 
sprüchen entfernt. Die Behörden sol- 
len die notwendige Technik erhalten; 
IT-Schnittstellen zwischen Bund und 
Ländern sollen etabliert werden (S. 12). 
Rechtlicher Ansatzpunkt im Bürger- 
kontakt soll das weiter zu entwickelnde 
Online-Zugangsgesetz (0ZG) sein.'° Mit 
dem „Einer-für-alle-Prinzip” (EfA, S. 15) 
digitalisiert jedes Land die Verwal- 
tungsleistungen so, dass andere Länder 
sienachnutzen können, dass sie also ei- 
nen Onlineprozess nicht nochmal selbst 
entwickeln müssen. Digitale Antrags- 
prozesse sollen nicht 16-mal in jedem 
Land und 11.000-mal in jeder Kommune 
einzeln entwickelt werden, sondern ein- 
mal, um Zeit, Ressourcen und Kosten zu 
sparen. Technisch setzt man auf „Open 
Source” und will sich so offenbar von der 
bisherigen Abhängigkeit von US-Kon- 
zernen, allen voran von Microsoft und 
Google, befreien. Dies gilt auch für die 
Cloud-Datenverarbeitung, für die eine 
sichere und transparente Verwaltungs- 
Cloud aufgebaut werden soll (S. 15). 

Versprochen werden zudem ein „ver- 
trauenswürdiges, allgemein anwend- 
bares Identitätsmanagement sowie 
die verfassungsfeste Registermoder- 
nisierung“ (S. 15). Modifikationen zu 
den bisherigen Reformplanungen sind 
nicht erkennbar. Zur Erhöhung der 
Bürgerfreundlichkeit soll das „Once- 
Only-Prinzip” etabliert werden (S. 32). 
Zur Identitätsklärung von Ausländern 
soll im Einzelfall die „Versicherung an 
Eides statt” genügen (S. 138). Digitale 
Vergabeverfahren für gefährdete Perso- 
nen sollen eingeführt werden (S. 142). 
Dabei muss zwangsläufig das Auslän- 
derzentralregistergesetz angefasst und 
geändert werden. Sollte es die Bundes- 
regierung tatsächlich schaffen mit der 
Steuer-ID als Personenkennziffer und 
mit technischen Vorkehrungen ein- 
schließlich eines Datencockpits ein da- 
tenschutzkonformes Registermanage- 
ment zu etablieren, so wird dies ein 
Gewinn sein für Bürgerfreundlichkeit, 
Wirtschaftlichkeit und Datenschutz. 
Die Widerstände hierfür sind weniger 
politisch, sondern administrativ, be- 
dingt durch knappe Finanzen, verteil- 
te Zuständigkeiten, Technikferne und 
fehlende Innovationsbereitschaft der 
handelnden Personen. 


Forschung 


Durch bessere Rahmenbedingungen 
will die Ampel Hochschule, Wissenschaft 
und Forschung kreativer und wettbe- 
werbsfähiger machen (S. 8). Geplant ist 
ein Aufbruch für die Forschung generell 
und für die Medizinforschung im Beson- 
deren: Es sollen „Instrumente wie Da- 
tentreuhänder, Datendrehscheiben und 
Datenspenden“ auf den Weg gebracht 
werden. „Ein Dateninstitut soll Daten- 
verfügbarkeit und -standardisierung 
vorantreiben, Datentreuhändermodel- 
le und Lizenzen etablieren” (S. 17). Die 
Koalitionäre wollen den Zugang zu For- 
schungsdaten für öffentliche und private 
Forschung mit einem „Forschungsdaten- 
gesetz umfassend verbessern sowie ver- 
einfachen“ und „Forschungsklauseln” 
einführen. Die nationale Forschungsda- 
teninfrastruktur soll weiterentwickelt 
und ein europäischer Forschungsdaten- 
raum vorangebracht werden. Dabei soll 
„Datenteilung von vollständig anonymi- 
sierten und nicht personenbezogenen 
Daten für Forschung im öffentlichen In- 
teresse” ermöglicht werden (S. 21). 


Gesundheit 


In der Gesundheitswirtschaft will man 
die Potenziale der Digitalisierung nut- 
zen, „um eine bessere Versorgungsquali- 
tät zu erreichen, aber auch Effizienzpo- 
tenziale zu heben“ (S. 29). Die Stärkung 
der Digitalisierung im Gesundheitswesen 
soll u.a. über den Ausbau der gematik zu 
einer digitalen Gesundheitsagentur er- 
reicht werden. Die Einführung der elek- 
tronischen Patientenakte (ePA) soll be- 
schleunigt werden. Es wird versprochen: 
„Zudem bringen wir ein Registergesetz 
und ein Gesundheitsdatennutzungs- 
gesetz zur besseren wissenschaftlichen 
Nutzung in Einklang mit der DSGVO 
auf den Weg und bauen eine dezentra- 
le Forschungsdateninfrastruktur auf” 
(S. 83). Die Passagen zur Digitalisierung 
im Gesundheitsbereich lesen sich wie 
Verlautbarungen aus dem Hause Spahn, 
das sich nicht durch große Anwender- 
freundlichkeit profiliert hatte. 


Europa 
Viele Digitalisierungskapitel im Ko- 


alitionsvertrag lassen erkennen, dass 
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sie auch eine europäische Dimensi- 
on haben, die durchgängig unterstützt 
wird. Dies beginnt mit der Erwähnung 
der DSGVO als „gute internationale 
Standardsetzung”. Es folgen positive 
Bewertungen von Digital Service Act 
(DSA, S. 17, 124), Digital Markets Act 
(DMA, S. 19, 31, 124), der E-Privacy- 
Verordnung (S. 17)”, der Verordnung 
zur „künstlichen Intelligenz” (AI-Act, 
S. 18), der Whistleblower-Richtlinie 
(S. 111), einer EU-Verbandsklagericht- 
linie (S. 106), eines europäischen Ge- 
sundheitsdatenraums (S. 134 f.), der 
EU-Geldwäschebekämpfung (S. 171) 
und einer „Weiterentwicklung von Euro- 
pol zu einem Europäischen Kriminalamt 
mit eigenen operativen Möglichkeiten” 
(S. 105). Weiter erwähnt werden die För- 
derung strategischer Technologiefelder 
z.B. im „Important Projects of Common 
European Interest” (IPCEI, S. 18), ein 
Europäischer Forschungsdatenraum 
(S. 21) und die Planung eines „digitalen 
Euros” (S. 172). Die europäische Cloud- 
Initiative Gaia-X wird nur als Basis einer 
europäischen Dateninfrastruktur in der 
Landwirtschaft adressiert (S. 47). Der 
nicht unwichtige Data Governance Act 
findet keine explizite Erwähnung. Bei 
der Plattformregulierung (Arbeitswelt, 
DSA, DMA) wird hervorgehoben, dass 
diese menschenzentriert und risikoba- 
siert sein müsse (S. 72)." 

Offenbar versteht die Koalition „eine 
konsistente EU-Digitalpolitik über Res- 
sortgrenzen hinweg” als Weg zu europä- 
ischer Souveränität (S. 15, 16, 20, 132, 
143, 144). Doch macht sie sich nicht 
soweit ehrlich, dass sie die Gegenspieler 
USA und China beim Namen nennt. 


Informationsfreiheit und demokrati- 
sche Transparenz 


Die Koalition will „Transparenz und 
Teilhabe” in „einer unkomplizierten, 
schnellen und digitalen Verwaltung” 
realisieren (S. 8) und hierfür die Infor- 
mationsfreiheitsgesetze zu einem Bun- 
destransparenzgesetz weiterentwickeln 
(S. 11). Die Begriffe „digitale Teilhabe“, 
„Barrierefreiheit“ und „Netzneutralität” 
werden - ohne weitere Erläuterung - als 
Zielsetzungen genannt (S. 16). 

Gespannt dürfen wir sein, wie weit die 
Ampelkoalition es mit den Anforderun- 
gen an die Transparenz gegenüber priva- 
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ten Playern bringt. Die Absicht dafür be- 
steht, etwa durch eine Ausweitung und 
Verbesserung des Lobbyregisters (S. 10) 
und des Transparenzregisters, mit dem 
wirtschaftlich Berechtigte öffentlich 
ausgewiesen werden (S. 172), und bei 
der Erhöhung der Transparenz beim 
Kredit-Scoring (S. 170). Da geht sicher 
noch mehr. Der Weg über Europa war in 
der Vergangenheit förderlich, etwa mit 
der Whistleblower-Richtlinie oder der 
geplanten KI-Richtlinie. Diese Initiati- 
ven waren von Deutschland bisher eher 
ausgebremst worden. Die Bundesregie- 
rung kann nun zum Antreiber werden. 


Digitale Innovation 


Unter dem Stichwort „digitale Schlüs- 
seltechnologien” werden aktuelle Buzz- 
words aufgezählt: „Künstliche Intelli- 
genz (KT), Quantentechnologien, Cyber- 
sicherheit, Distributed-Ledger-Techno- 
logie (DLT), Robotik”. Insofern sollen 
Investitionen gefördert werden (S. 18). 
Im Kontrast zur bisherigen Regierungs- 
politik, die sich mit den Buzzwords 
schmückte, ohne dass viel passierte 
oder dass diese kritisch eingeordnet 
wurden, werden deren gesellschaftliche 
Funktionen und Risiken adressiert. 


Resümee und Ausblick 


In Sachen Digitalisierung kann sich 
der Koalitionsvertrag sehen lassen; in 
Sachen Datenschutz eigentlich auch, 
wenngleich insofern eher ein Stein- 
bruch und nicht im Ansatz ein Konzept 
erkennbar ist. Angesichts dessen, dass 
sich hier drei politische Parteien mit 
teilweise stark voneinander abweichen- 
den Selbstverständnissen einigen muss- 
ten, ist die vorliegende Vereinbarung 
beachtlich. Bei einem Jamaika-Bündnis 
wäre diese Detailliertheit nicht möglich 
gewesen. 

Die Lücken, die es im Bereich Daten- 
schutz gibt, können und müssen aufge- 
füllt werden. Ein Koalitionsvertrag be- 
schreibt nicht abschließend, was eine 
Regierung in einer Legislaturperiode 
machen wird, sondern nur das, worauf 
sie sich zu Beginn der Zusammenarbeit 
geeinigt hat und was sie zu diesem Zeit- 
punkt als besonders wichtig einstufte. 
Neue Wichtigkeiten können sich er- 
geben; dies kann dadurch geschehen, 


dass außerparlamentarisch Forderungen 
an die Politik herangetragen werden. 
Angesichts der Grundeinstellungen, die 
die beteiligten Partner zu Digitalisie- 
rung und Datenschutz haben sind inso- 
fern keine allzu großen Meinungsunter- 
schiede zu erwarten. 

Die Umsetzungshindernisse haben 
sich nur wenig gegenüber denen der 
vorigen Legislatur verändert: Im Grun- 
de sind alle Ressorts von der Digitali- 
sierung und dem Datenschutz betrof- 
fen. Verkehrsminister Volker Wissing 
trägt die Zuständigkeit für Digitales 
im Namen seines Aufgabenbereichs, 
doch liegen die Fragen der rechtlichen 
Umsetzung eher beim Innen- und beim 
Justizministerium. Die Umsetzung liegt 
bei allen Ressorts, vor allem beim In- 
nenministerium. In der letzten Legisla- 
turperiode überboten sich die Ressorts 
in wolkiger, teils profilierungssüchtiger 
Rhetorik. Sie bekämpften sich oft mehr, 
als dass sie zusammenarbeiteten. Inso- 
fern lassen das nun handelnde Personal 
und die zu Beginn der Kooperation ver- 
sendeten Botschaften mehr Seriosität 
und mehr gemeinsames Handeln erwar- 
ten. Luftnummern & la Lufttaxis einer 
Dorothea Bär zeichnen sich bisher eher 
nicht ab. 

Konsistente übergreifende Strategi- 
en sind bisher aber nicht erkennbar. In 
vielen Themenbereichen bedürfte es ei- 
ner Koordination. Diese sollte in kleinen 
handlungsfähigen zumeist ressortüber- 
greifenden Arbeitsgruppen erfolgen, 
die dabei die in der Zivilgesellschaft, 
der Wirtschaft und der Wissenschaft 
vorhandenen Kompetenzen bündeln 
und in konkrete Initiativen lenken. 
Wenig optimistisch stimmt, dass im 
Bereich Digitalisierung das Kanzleramt 
und Bundeskanzler Olaf Scholz keine 
eigenen Zuständigkeiten sehen. Hier 
fordert bzw. „bestellt“ der Koalitions- 
vertrag Führung, ohne dass sie - soweit 
erkennbar - bisher geliefert wird. 

Bevor es zur Koordination der Aus- 
führung kommt, muss die Koalition 
zunächst klären, welche Ressorts für 
welche Planungen überhaupt zustän- 
dig sein sollen. Dies lässt sich aus dem 
Ampelvertrag nicht ableiten und ist bei 
vielen Projekten, etwa dem zu einem 
„Dateninstitut” (S. 17), völlig unklar. 
Hierüber haben sich wohl die Verhan- 
delnden auch noch keine konkreten Ge- 


danken gemacht. Es ist im Interesse der 
Umsetzung der Vereinbarung wie der 
Transparenz für alle Beteiligten, dass 
eine ressortübergreifende Arbeitsgrup- 
pe sich über Betroffenheiten, Zustän- 
digkeiten und Hausaufgaben verständigt 
und diese Öffentlich macht. Es wäre 
nicht nur, aber auch für die Ampel fatal, 
wenn nach 4 Jahren festgestellt werden 
müsste, dass viele Absichtserklärungen 
in dem Vertrag nichts Anderes waren als 
ein unverbindliches Wünsch-dir-was. 

Größtmögliche Transparenz bei den 
Verfahren ist wünschenswert. In der EU 
ist es gängige Praxis, dass Initiativen 
öffentlich zur Debatte gestellt werden. 
In Deutschland muss eine solche Praxis 
erst noch etabliert werden. In der Ver- 
gangenheit wurden oft teure Anwalts- 
kanzleien mit der Projektentwicklung 
beauftragt, die regelmäßig einseitig 
Wirtschaftsinteressen umsetzten. Zu- 
künftig sollten ein breiteres Lobbyspek- 
trum und die Zivilgesellschaft einbezo- 
gen werden. 

Die Zivilgesellschaft ist gefordert, Kon- 
takt zu den zuständigen Parlamentari- 
ern und den Ministerialen aufzubauen, 
die mit digitalem Grundrechtsschutz zu 
tun haben. Die Verweigerungshaltung, 
die die große Koalition und deren Ad- 
ministration zeigte, sollte sich nicht 
reproduzieren. Dabei haben sich einige 
Rollen verändert: War es bisher möglich 
Anfragen und sonstige Transparenzin- 
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itiativen über die Grünen und die FDP 
zu starten, so sind deren Parlamentarier 
nunmehr gezwungen zumindest Rück- 
sicht auf die Regierungspolitik und die 
Ministerialverwaltung zu nehmen. AfD 
und CDU/CSU hierfür zu instrumentali- 
sieren dürfte wenig erfolgversprechend 
sein. Umso begrüßenswerter ist es, dass 
die Linken weiterhin im Parlament ver- 
treten sind und für Themen des digita- 
len Grundrechtsschutzes ein offenes 
Ohr und zudem kompetente Politikerin- 
nen und Politiker haben. Wenn es aber 
um konkretes Regierungshandeln geht, 
muss der direkte Weg zu den zuständi- 
gen Ministerien oder über die Abgeord- 
neten von SPD, Grüne und FDP gesucht 
und gefunden werden. Der Koalitions- 
vertrag bietet genügend Ansatzpunkte, 
um in den Bereichen Digitalisierung 
und Datenschutz als Türöffner genutzt 
zu werden. 
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Die Institutionalisierung der Datenschutzkonferenz 


im BDSG 


Einleitung 


Die Datenschutzkonferenz (DSK) ist 
nach der Definition in ihrer Geschäfts- 
ordnung der Zusammenschluss der 
unabhängigen Datenschutzaufsichts- 
behörden des Bundes und der Länder 
und besteht aus der oder dem Bun- 
desbeauftragten für den Datenschutz, 
den Landesbeauftragten für den Daten- 
schutz und der Präsidentin oder dem 


Präsidenten des Bayerischen Landes- 
amtes für Datenschutzaufsicht.' Ihre 
Aufgabe ist es sich mittels Entschlie- 
ßungen, Beschlüssen, Orientierungs- 
hilfen, Standardisierungen, Stellung- 
nahmen, Pressemitteilungen und Fest- 
legungen auf gemeinsame Positionen 
der Datenschutzaufsichtsbehörden des 
Bundes und der Länder zu verständi- 
gen.? Ihre Tätigkeit steht dabei in einem 
Spannungsverhältnis zur Tätigkeit des 


Europäischen Datenschutzausschusses 
(EDSA), dessen Tätigkeit in Art. 68 ff. 
DSGVO geregelt ist. Die Tätigkeit der 
DSK ist demgegenüber nicht gesetzlich 
geregelt, sondern lediglich in der ihr 
selbst gegebenen Geschäftsordnung.’ 
Aus Sicht der Verantwortlichen ist da- 
her insb. aus zwei Gründen Rechtsun- 
sicherheit entstanden: Zunächst stellt 
sich die Frage der Verbindlichkeit von 
Veröffentlichungen der DSK, falls diese 
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Fragen betreffen, die durch den EDSA 
noch nicht behandelt wurden. Zudem 
stellt sich die Frage der Verbindlichkeit 
der Veröffentlichungen auch für deren 
bundesweite Anwendung. So wurden 
verschiedene Veröffentlichungen nicht 
einstimmig angenommen. Beispielswei- 
se wurde der Beschluss zur Möglichkeit 
der Nichtanwendung technischer und 
organisatorischer Maßnahmen nach 
Art. 32 DSGVO auf ausdrücklichen 
Wunsch betroffener Personen gegen die 
Stimme Sachsens beschlossen.‘ Weiter- 
hin wurde die Orientierungshilfe zu Maß- 
nahmen zum Schutz personenbezogener 
Daten bei der Übermittlung per E-Mail 
gegen die Stimme Bayerns beschlos- 
sen.? Die neue Bundesregierung hat die 
Absicht, diese Rechtsunsicherheit zu 
beenden, in den Koalitionsvertrag aufge- 
nommen.‘ So soll zur besseren Durchset- 
zung und Kohärenz des Datenschutzes 
die Datenschutzkonferenz im BDSG ins- 
titutionalisiert werden. Dabei sollen ihr, 
soweit rechtlich möglich, verbindliche 
Beschlüsse ermöglicht werden. 


Aktuelle Rechtslage nach der Ge- 
schäftsordnung der DSK und nach 
dem BDSG 


Zur Erreichung gemeinsamer Positi- 
onen strebt die DSK Einvernehmen an. 
Sofern kein Einvernehmen erzielt wer- 
den kann, soll die Entscheidung der 
Mehrheit anerkannt werden. Entschlie- 
Rungen, die sich auf einen Gegenstand 
beziehen, bei dem eine individuell- 
konkrete Betroffenheit eines Mitglieds 
besteht, dürfen nicht gegen die Stimme 
dieses Mitglieds verabschiedet wer- 
den. Bei Mehrheitsentscheidungen zu 
gemeinsamen Positionen werden auf 
Wunsch abweichende Voten durch die 
Bezeichnung des jeweiligen Mitglieds 
der DSK in dem zur Veröffentlichung 
bestimmten Dokument kenntlich ge- 
macht.” Aus diesem Verfahren wird 
bereits deutlich, dass die Entschlie- 
ßungen der DSK keine Verbindlichkeit 
für Behörden entwickeln können und 
sollen, die bereits im Rahmen eines 
laufenden Verwaltungsverfahrens mit 
einem zu entscheidenden Sachver- 
halt befasst sind. Aber gerade bei den 
förmlichen Beschlüssen der DSK stellt 
sich die Frage nach deren Verbindlich- 
keit, da diese Positionen die Auslegung 
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datenschutzrechtlicher Regelungen 
betreffen.® Verbindlichkeit gegenüber 
den Verantwortlichen stellt sich grund- 
sätzlich erst durch einen durch die zu- 
ständige Behörde erlassenen Verwal- 
tungsakt und die darin zum Ausdruck 
kommende Rechtsauffassung ein. Dies 
sind nach & 40 Abs. 1 BDSG die Auf- 
sichtsbehörden der Länder sowie im An- 
wendungsbereich von 8 9 Abs. 1 BDSG 
und & 29 TTDSG der Bundesbeauftragte 
für den Datenschutz und die Informa- 
tionsfreiheit. Eine Auflösung dieses 
Konflikts bieten auch die 88 17 ff. BDSG 
nicht, da sie ausschließlich die Zusam- 
menarbeit der Aufsichtsbehörden in 
Bezug auf den EDSA betreffen. Jedoch 
wird auch bereits an der Regelung in 
8 18 BDSG kritisiert, dass diese nicht zur 
Festlegung eines gemeinsamen Stand- 
punktes geeignet ist und der Begriff des 
gemeinsamen Standpunktes nicht defi- 
niert wurde.’ Auch ist das Verfahren zur 
Erreichung des gemeinsamen Stand- 
punktes nicht hinreichend detailliert 
geregelt, dain &$ 18 Abs.1 Satz 3 BDSG 
nur gesagt wird, dass „zu diesem Zweck 
untereinander alle zweckdienlichen 
Informationen auszutauschen” sind. 
Falls kein Einvernehmen erzielt werden 
kann, greift das Verfahren zur Festle- 
gung eines gemeinsamen Standpunkts 
nach & 18 Abs. 2 BDSG. Die genannten 
Bedenken bestehen auch hinsichtlich 
einer künftigen Regelung zu verbindli- 
chen Beschlüssen der DSK. 


Mögliche Rechtsnatur der Beschlüsse 
derDSK 


Fraglich ist jedoch bereits grundsätz- 
lich, ob Beschlüsse der DSK überhaupt 
Bindungswirkung entfalten können 
und was deren Rechtsnatur ist. Zu- 
nächst lässt sich an eine Selbstbindung 
der Verwaltung denken. Dabei hat im 
Sinne des Gleichbehandlungsgrundsat- 
zes nach Art. 3 GG die Verwaltung ihr 
Ermessen in gleichgelagerten Fällen in 
gleicher Weise auszuüben. Die Selbst- 
bindung der Verwaltung kann sich dabei 
aus einer existierenden Verwaltungs- 
praxis ergeben. Dies wäre in den Fällen, 
die den Beschlüssen der DSK zu Grunde 
liegen, jedoch nicht der Fall. Diese Be- 
schlüsse sind, wie gesehen, Positionen, 
die die Auslegung datenschutzrecht- 
licher Regelungen bzw. entsprechen- 


de Empfehlungen betreffen.'°” Damit 
entscheiden sie nicht bereits konkrete 
Fälle, sondern bereiten vielmehr abs- 
trakt künftige Fallentscheidungen vor. 
Aus diesem Grund kann aber auch kein 
Verwaltungsakt nach 8 35 Satz 1 VwVfG 
vorliegen. Eine Selbstbindung der Ver- 
waltung kann weiterhin bereits durch 
veröffentlichte Verwaltungsanweisun- 
gen entstehen.!! Als solche könnten 
die Beschlüsse der DSK durchaus an- 
gesehen werden. Bindungswirkung im 
Sinne einer Ermessensreduzierung auf 
null tritt hier bereits durch Veröffentli- 
chung der Anweisungen ein. In Bezug 
auf die Blacklists zu Datenschutz-Fol- 
genabschätzungen nach Art. 35 Abs. 4 
DSGVO wird außerdem diskutiert, ob es 
sich dabei um Allgemeinverfügungen 
nach & 35 Satz 2 VwVfG handeln kön- 
ne. Fraglich ist jedoch, ob eine Black- 
list oder ein Beschluss der DSK eine Re- 
gelung i.S.v. 8 35 Satz 2 VwVfG darstellt, 
da aus deren Veröffentlichung keine 
unmittelbare Verbindlichkeit folgt. 
Diese dürfte regelmäßig erst durch ei- 
nen Verwaltungsakt der nach 8 9 Abs. 1 
BDSG bzw. nach 8 40 Abs. 1 BDSG jeweils 
zuständigen Behörde geschehen. Vor- 
zugswürdig für die weitere Betrachtung 
einer Verbindlichkeit von Beschlüssen 
der DSK ist somit die Selbstbindung 
der Verwaltung. Aber auch dabei ist zu 
berücksichtigen, dass diese Selbstbin- 
dung nur für Behörden im Rahmen ih- 
rer jeweiligen Zuständigkeit eintreten 
kann. Zudem kann keine Bindung für 
die Behörden entstehen, gegen deren 
Stimme beschlossen wurde. Für Behör- 
den außerhalb ihres Zuständigkeitsbe- 
reichs können die Beschlüsse der DSK 
schon deshalb keine Bindungswirkung 
entfalten, da diese für die umsetzenden 
Entscheidungen nicht zuständig wären. 
Für die Behörden, gegen deren Stimme 
die Beschlüsse gefasst wurden, können 
diese Beschlüsse keine Bindungswir- 
kung entfalten, da diese Behörden zum 
Ausdruck gebracht haben, dass sie ge- 
rade nicht durch den entsprechenden 
Beschluss gebunden sein wollen. Die 
Fiktion einer Bindungswirkung durch 
einen Mehrheitsbeschluss der DSK dürf- 
te ohne Änderung der abschließend for- 
mulierten Zuständigkeiten, jedenfalls 
bei der Annahme einer Selbstbindung 
der Verwaltung, schwer darstellbar sein. 
Daher sollte bei den Überlegungen zu 


einer künftigen Institutionalisierung 
der DSK von den genannten Prämissen 
ausgegangen werden. 


Vorschlag zu einer Institutionalisie- 
rung der DSK im BDSG 


Die Zusammenarbeit der Aufsichts- 
behörden in europäischen Angelegen- 
heiten ist in & 18 BDSG geregelt. Eine 
Zusammenarbeit der Aufsichtsbehörden 
in nationalen Angelegenheiten könnte 
daher künftig in einem $ 18a BDSG ge- 
regelt werden. In diese Regelung sollten 
möglichst detaillierte Regelungen zum 
Verfahren aufgenommen werden, um 
die Kritik an 8 18 BDSG aufnehmen zu 
können. Dies müsste allerdings nicht im 
Gesetz selbst geschehen, sondern könn- 
te durchaus auch durch einen Verweis 
auf die Geschäftsordnung der DSK er- 
folgen. Hierdurch ist einerseits gewähr- 
leistet, dass verbindliche Verfahrensre- 
gelungen bestehen. Andererseits kön- 
nen die Einzelheiten der Ausgestaltung 
aber auch auf die DSK selbst delegiert 
werden, um eine gewisse Flexibilität bei 
der Ausgestaltung zu ermöglichen. Wei- 
terhin ist davon auszugehen, dass die 
Beschlüsse der DSK die Rechtsqualität 
einer Selbstbindung der Verwaltung ha- 
ben. Schließlich ist zu berücksichtigen, 
dass lediglich in dem Bereich verbind- 
liche Beschlüsse erfolgen können, in 
dem der EDSA noch nicht nach Art. 70 
DSGVO tätig geworden ist. Vor diesem 
Hintergrund könnte eine Regelung zur 
Institutionalisierung der DSK im BDSG 
wie folgt aussehen: 


„$ 18a Sonstiges Verfahren der Zu- 
sammenarbeit der Aufsichtsbehörden 
des Bundes und der Länder 


1. Zur Erreichung des Ziels die Daten- 
schutzgrundrechte zu wahren und zu 
schützen, eine einheitliche Anwen- 
dung des europäischen und nationa- 
len Datenschutzrechts zu erreichen 
und gemeinsam für seine Fortentwick- 
lung einzutreten, wird die Konferenz 
der unabhängigen Datenschutzauf- 
sichtsbehörden des Bundes und der 
Länder eingerichtet. 

2. Die Konferenz gibt sich eine Geschäfts- 
ordnung, in der das nähere Verfahren 
der Zusammenarbeit geregelt wird. 

3. Die Konferenz erlässt Beschlüsse, die 
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die Ermessenausübung der teilneh- 
menden Aufsichtsbehörden binden. 
Diese Bindungswirkung besteht nicht 
für Aufsichtsbehörden, gegen deren 
Stimme ein Beschluss gefasst wurde. 
Diese Bindungswirkung besteht nur 
für Aufsichtsbehörden im Rahmen 
ihrer jeweils gesetzlich geregelten Zu- 
ständigkeit. 

4. Die Konferenz kann keine Beschlüsse 
zu Sachverhalten fassen, in denen der 
Europäischen Datenschutzausschuss 
bereits nach Artikel 70 der Verordnung 
(EU) 2016/679 tätig geworden ist.” 


Fazit 


Der Vorstoß der neuen Bundesregie- 
rung die DSK im BDSG zu institutionali- 
sierenistzurSchaffung von Rechtssicher- 
heit begrüßenswert. Aber auch künftig 
dürfte die Rechtssicherheit begrenzt 
bleiben, da die Beschlüsse nur in einem 
eingeschränkten Umfang Bindungswir- 
kung entfalten können. Dies ist nicht der 
Fall, falls der EDSA schon tätig wurde, 
falls der Beschluss gegen die Stimme ei- 
ner Aufsichtsbehörde gefasst wurde oder 
falls eine zustimmende Behörde für eine 
konkrete Entscheidung zu dem durch die 
im Beschluss behandelten Sachverhalte 
nicht zuständig wäre. Ebenfalls können 
die weiteren Handlungsformen, neben 
den Beschlüssen, die in Punkt A.III. der 
Geschäftsordnung der DSK aufgeführt 
sind, keine Rechtsverbindlichkeit ha- 
ben, die sie ihrer Natur nach schon durch 
Selbstbindung der Verwaltung darstellen 
können. Aber wenn zumindest, wie dar- 
gestellt, im Rahmen der Beschlüsse der 
DSK ein Mindestmaß an Rechtssicher- 
heit für die Verantwortlichen hergestellt 
werden kann, wäre dies ein großer Fort- 
schritt für eine einheitliche Anwendung 
der DSGVO. 


1 Geschäftsordnung der DSK, A.l. 
2 Geschäftsordnung der DSK, A.III. 


3 Geschäftsordnung - Beschluss der DSK 
vom 05. September 2018 geändert durch 
Beschluss der DSK vom 29. September 
2021, https://www. 
datenschutzkonferenz-online.de/ 
media/dsk/Geschaeftsordnung_ 
DSK_09-2021.pdf 


4 Beschluss der Konferenz der unabhän- 
gigen Datenschutzaufsichtsbehörden 
des Bundes und der Länder vom 24. 


November 2021 - Zur Möglichkeit der 
Nichtanwendung technischer und orga- 
nisatorischer Maßnahmen nach 

Art. 32 DSGVO auf ausdrücklichen 
Wunsch betroffener Personen, Fn. 1, 
https://www.datenschutzkonferenz- 
online.de/media/dskb/20211124_ 
TOP_7_Beschluss_Verzicht_auf_TOMs. 
pdf 


5 Orientierungshilfe der Konferenz der 
unabhängigen Datenschutzaufsichts- 
behörden des Bundes und der Länder 
vom 27. Mai 2021 - Maßnahmen zum 
Schutz personenbezogener Daten bei 
der Übermittlung per E-Mail, Fn. 1, 
https://www.datenschutzkonferenz- 
online.de/media/oh/20210616_ 
orientierungshilfe_e_mail_ 
verschluesselung.pdf 


6 Koalitionsvertrag zwischen SPD, 
Bündnis90/Die Grünen und FDP: Mehr 
Fortschritt wagen - Bündnis für Freiheit, 
Gerechtigkeit und Nachhaltigkeit, S. 17 


7 Geschäftsordnung der DSK, A.IV.3. 
8 Geschäftsordnung der DSK, A.III. 


9 Sommer, in: Däubler / Wedde / Weichert / 
Sommer, EU-DSGVO und BDSG, 2. Aufl. 
2020, 8 18 BDSGRn. 3 ff. 


10 Geschäftsordnung der DSK, A.IIl. 
11 BFH, Urteil vom 14.05.2009 - IVR 27/06 
12 BFH, a.a.0.,R. 23 ff. 


13 Piltz/Lühe: DSFA-Blacklists nach Art. 35 
Abs. 4 DS-GVO als Allgemeinverfügung? 
Verwaltungsrechtliche Einordnung und 
mögliche Rechtsschutzmöglichkeiten, 
RDV 2020, 65 
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Theorie und Praxis der Bestandsdatenauskunft am 
Beispiel von E-Mail-Diensten 


Am 01.12.2021 ist eine Novelle des 
Telekommunikationsgesetzes (TKG) in 
Kraft getreten, welche E-Mail-Dienste 
unter anderem verpflichtet unter be- 
stimmten Voraussetzungen staatlichen 
Stellen Auskunft über Bestandsdaten 
ihrer Kunden zu geben. Als Konsequenz 
eines Urteil des europäischen Gerichts- 
hofs (EuGH) vom 13.06.2019! waren 
diese nicht mehr unter die Bestimmun- 
gen des Telekommunikationsgesetzes 
gefallen und daher zu solchen Aus- 
künften auch nicht mehr verpflichtet 
gewesen. Dem hat der Gesetzgeber nun 
Rechnung getragen und den Anwen- 
dungsbereich des TKG so erweitert, dass 
er auch wieder E-Mail-Dienste umfasst. 
Dies gibt Anlass, einen kritischen Blick 
auf die Praxis der Bestandsdatenaus- 
kunft zu werfen, was am Beispiel des 
E-Mail-Dienstes Posteo geschehen soll, 
der seit 2014 jährliche Transparenzbe- 
richte veröffentlicht, die den Umgang 
des Unternehmens mit Auskunftsersu- 
chen staatlicher Stellen ausführlich do- 
kumentieren. 


Rechtslage 


Die sogenannte manuelle Bestands- 
datenauskunft ist in & 174 des neu ge- 
fassten Telekommunikationsgesetzes 
geregelt. Eine Neufassung der entspre- 
chenden Regelung ($ 113) des alten 
Telekommunikationsgesetzes war auch 
nötig geworden, da das Bundesverfas- 
sungsgericht die bisherige Vorschrift 
für verfassungswidrig erklärt hatte,? 
und war bereits am 02.04.2021 in Kraft 
getreten. Nach 8 174 TKG sind bestimm- 
te staatliche Stellen berechtigt von Te- 
lekommunikationsunternehmen unter 
gewissen Voraussetzungen Auskünfte 
über Bestandsdaten ihrer Kunden zu 
verlangen. Dazu gehören unter ande- 
rem die Strafverfolgungsbehörden, die 
Sicherheitsbehörden sowie die Nach- 
richtendienste. Unter Bestandsdaten 
versteht das Gesetz dabei Daten eines 
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Endnutzers, die erforderlich sind für 
die Begründung, inhaltliche Ausge- 
staltung, Änderung oder Beendigung 
eines Vertragsverhältnisses über Tele- 
kommunikationsdienste (8 3 TKG). Im 
Fall von E-Mail-Diensten könnten dies 
etwa Anschrift, Telefonnummer, Alter 
oder Kontodaten eines Nutzers sein. 
Auskünfte über solche Bestandsdaten 
dürfen von den vorgenannten Behör- 
den etwa zur Aufklärung von Straftaten 
und Ordnungswidrigkeiten, zur Abwehr 
von Gefahren für gewichtige Rechtsgü- 
ter sowie zur nachrichtendienstlichen 
Vorfeldaufklärung verlangt werden. Im 
Gegensatz zur alten Regelung des Aus- 
kunftsverfahrens wurden die Vorausset- 
zungen in der neuen Fassung wesent- 
lich präziser gefasst. 

Das Auskunftsverlangen muss im 
Regelfall schriftlich oder elektronisch 
unter Angabe der einschlägigen gesetz- 
lichen Bestimmungen gestellt werden. 
Das war im Wesentlichen auch schon in 
der alten Fassung so geregelt. Gemäß 
dem Bundesdatenschutzgesetz (BDSG) 
und anderer datenschutzrechtlicher 
Bestimmungen müssen solche Anfragen 
dabei so ausgestaltet sein, dass die Ver- 
traulichkeit personenbezogener Daten 
gewährleistet ist. 


Missstände in der Praxis 


Als einer von wenigen deutschen E- 
Mail-Diensten veröffentlicht das Un- 
ternehmen Posteo seit 2014 Transpa- 
renzberichte, welche alle behördlichen 
Anfragen zu Nutzerdaten, insbesondere 
Bestandsdaten, aber auch zu Inhaltsda- 
ten und Verkehrsdaten, dokumentiert.’ 
Obwohl Posteo seine Vertragsabschlüsse 
so gestaltet, dass gar keine Bestandsda- 
ten erhoben werden und entsprechend 
auch keine weitergegeben werden 
können, geben diese Berichte einen 
höchst aufschlussreichen Einblick in 
die Praxis von Behörden bei Ersuchen 
um Bestandsdaten aus der Perspekti- 


ve eines Unternehmens. Dabei zeigen 
sich erhebliche Mängel, was die Umset- 
zung der gesetzlichen Vorgaben anbe- 
langt, sowohl hinsichtlich der sicheren 
Übertragung der Auskunftsersuchen 
als auch hinsichtlich ihrer Rechtmä- 
Rigkeit. So waren im Jahr 2018 von 28 
Bestandsdatenersuchen nur 12 formal 
korrekt, im Jahr 2014 waren es von 17 
sogar nur 2. In keinem Jahr war der An- 
teil nicht korrekter Bestandsdatenersu- 
chen niedriger als ein Drittel. Bei den 
unzulässigen Ersuchen handelte es sich 
vielfach um Abfragen von Verkehrsda- 
ten wie dynamischen IP-Adressen, die 
nicht unter die Kategorie der Bestands- 
daten fallen und damit im Rahmen der 
Bestandsdatenauskunft nicht abgefragt 
werden dürfen. Darüber hinaus fehlte 
in vielen Ersuchen die vorgeschriebe- 
ne Nennung der Rechtsgrundlage. Ein 
weiteres Problem ist die Übertragung 
der Auskunftsersuchen, welche häufig 
nicht im Einklang mit den datenschutz- 
rechtlichen Vorgaben steht. So werden 
etwa Ersuchen unverschlüsselt übermit- 
telt oder es werden nicht-dienstliche E- 
Mail-Postfächer für die Korrespondenz 
verwendet. 


Reaktionen der Aufsichtsbehörden 


Die Problematik der unsicheren Über- 
tragung sensibler Daten bei behördli- 
chen Bestandsdatenersuchen ist den 
Landesdatenschutzbeauftragen be- 
wusst, wie Antworten auf Beschwerden 
zeigen, die Posteo im Rahmen seiner 
Transparenzberichte veröffentlicht. 
Hiernach wurden und werden die Be- 
hörden von den Datenschutzbeauftrag- 
ten immer wieder auf die Notwendigkeit 
einer sicheren Übertragung derartiger 
Anfragen hingewiesen. Den Ausfüh- 
rungen der Datenschutzbeauftragten 
lässt sich allerdings auch entnehmen, 
dass sich ein entsprechendes Problem- 
bewusstsein bei den Behörden nur sehr 
mühsam erreichen lässt. Auf die viel- 
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fach unrechtmäßige Abfrage von Ver- 
kehrsdaten im Rahmen der Bestandsda- 
tenauskunft wurde der Rechtsausschuss 
des deutschen Bundestags bereits 2012 
durch eine Stellungnahme des Bundes- 
verbands der Informationswirtschaft 
(BITKOM) aufmerksam gemacht.‘ Die 
hierzu befragte Bundesregierung hielt 
indes die Vorwürfe für unbegründet und 
sah dementsprechend keinen Hand- 
lungsbedarf. Dabei begnügte sie sich 
mit der Befragung verschiedener Ermitt- 
lungsbehörden zu diesem Vorwurf, ohne 
mit Unternehmen zu sprechen, die nach 
eigener Angabe solche Anfragen regel- 
mäßig erhalten haben.’ Im Jahr 2015 
wiederholte die Bundesregierung diese 
Einschätzung und verwies dabei auch 
auf den Umstand, dass entsprechende 
Beanstandungen von Datenschutz- 
kontrollinstanzen wie etwa den Daten- 
schutzbeauftragten nicht vorlägen.° 
Wie allerdings verschiedene Antworten 
der Landesdatenschutzbeauftragten auf 
entsprechende Beschwerden von Posteo 
nahelegen, scheinen sich diese für die 
Problematik rechtswidriger Ersuchen 
nach Verkehrsdaten im Rahmen der Be- 
standsdatenauskunft gar nicht zustän- 
dig zu fühlen. 


Lösungen? 


Angesichts der offen zutage treten- 
den Missstände stellt sich die Frage, 
wie Theorie und Praxis der Bestandsda- 
tenauskunft wieder besser zur Deckung 
gebracht werden können. Eine Option 
könnten zusätzliche rechtliche Kon- 


Klaus-Jürgen Roth 


trollmechanismen sein, wie sie durch 
den Richtervorbehalt bei eingriffsinten- 
siveren Maßnahmen wie etwa der Tele- 
kommunikationsüberwachung (TKÜ) 
grundsätzlich vorgesehen sind. Aller- 
dings sind hinsichtlich der Wirksamkeit 
solcher Instrumente zur Begrenzung 
von Überwachungsmaßnahmen Zweifel 
angebracht, wie etwa Zahlen des Berli- 
ner Senats nahelegen, der sich seit 2004 
von der Regierung Berlins über die Pra- 
xis der Telefonüberwachung in Berlin 
informieren lässt. Eine Auswertung der 
Jahresberichte von 2004 bis 2019 durch 
netzpolitik.org zeigte, dass seit 2007 
kein einziger Antrag auf Überwachung 
mehr abgelehnt wurde.’ Bereits im Jahr 
2003 kamen Studien der Universität Bie- 
lefeld sowie des Max-Planck-Instituts 
für ausländisches und internationales 
Strafrecht zu dem Ergebnis, dass die 
Praxis der richterlichen Überprüfung 
von Überwachungsmaßnahmen gravie- 
rende Missstände aufweist und kaum 
Kontrollwirkung entfaltet.° Ein Grund 
hierfür mag in der hohen Zahl an be- 
antragten Überwachungsmaßnahmen 
bei gleichzeitig schlechter personeller 
Ausstattung der Gerichte liegen. Umso 
fraglicher erscheint es, dass rechtliche 
Kontrollinstrumente, die bereits bei ei- 
nem wesentlich intensiveren Eingriff 
wie der TKÜ ihrer Aufgabe nicht gerecht 
werden, zu einer rechtlichen Einhegung 
und Begrenzung bei der Bestandsda- 
tenauskunft führen würden. Deren Pra- 
xis hängt auch wesentlich davon ab, wie 
(un)genau Unternehmen Auskunftser- 
suchen von Behörden prüfen und wie 


(un)kritisch sie diesen nachkommen. 
Zu einem kritischen Blick können sie 
letztlich nur dadurch bewegt werden, 
dass Kunden den Schutz ihrer persön- 
lichen Daten ernst nehmen und diesen 
auch aktiv einfordern. 


1 EuGH, 13. 6. 2019 -C-193/18. 


2 BVerfG, 27.5. 2020-1BvR 1873/13, 1 
BvR 2618/13. 


3 Abrufbar unter https://posteo.de/site/ 
transparenzbericht. 


4 Siehe https://www.bitkom.org/Bitkom/ 
Publikationen/Entwurf-eines-Gesetzes- 
zur-Aenderung-des-TKG-sowie-zur- 
Neuregelung-der- 
Bestandsdatenauskunft.html. 


5 Deutscher Bundestag, Drucksache 
17/12239, https://dserver.bundestag. 
de/btd/17/122/1712239.pdf. 


6 Deutscher Bundestag, Drucksache 
18/5804, https://dserver.bundestag. 
de/btd/18/058/1805804.pdf. 


7 https://netzpolitik.org/2020/ 
telefonueberwachung-2019-in-berlin- 
wurde-seit-zwoelf-jahren-kein-antrag- 
auf-ueberwachung-von-telefon-oder- 
internet-abgelehnt/. 


8 0.Backes, C. Gusy: Wer kontrolliert die 
Telefonüberwachung? Eine empirische 
Untersuchung zum Richtervorbehalt bei 
der Telefonüberwachung. Bielefelder 
Rechtsstudien Band 17, Frankfurt, 2003 
sowie H.-J. Albrecht, C. Dorsch, C. Krüpe: 
Rechtswirklichkeit und Effizienz der 
Überwachung der Telekommunikation 
nach den 88 100a, 100b StPO und ande- 
rer verdeckter Ermittlungsmaßnahmen. 
Forschung aktuell Nr. 17. Max-Planck- 
Institut für ausländisches und internati- 
onales Strafrecht, Freiburg i. Br. 2003. 


Zeigt Telegram, dass das Internet immer noch ein 
rechtsfreier Raum ist? (Ein Kommentar) 


Unsere Hoffnung in den 90er Jahren, 
die von vielen Bürgerrechtsbewegten 
und Digitalaffinen geteilt wurde, war, 
dass das Internet ein Hort der Infor- 
mationsfreiheit und der offenen demo- 
kratischen Diskussion sein wird. Diese 
Hoffnung hat sich nur teilweise erfüllt. 
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Wir haben die Rechnung nicht mit den 
IT-Konzernen, Demokratiefeinden und 
Cyberkriminellen gemacht. Durch sie 
ist das Internet auch zu einem Hort 
von Kriminalität geworden sowie von 
Hass, Hetze und Falschnachrichten. 
Dies schädigt die Gesellschaft, beein- 


trächtigt die demokratische Meinungs- 
bildung und treibt die Menschen ausei- 
nander. Auch die Persönlichkeitsrechte 
vieler Menschen und der Datenschutz 
werden hierüber beeinträchtigt. 

Das Internet war nie ein rechtsfreier 
Raum. Doch hinkt die Regulierung und 
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deren Durchsetzung oft weit hinter der 
Realität hinterher. IT-Konzerne und 
Cyberkriminelle finden immer wieder 
Wege, wie sie zu ihrem Nutzen sankti- 
onsfrei die Rechte Anderer im Netz ver- 
letzen können. Die „Flucht ins Ausland” 
ist dabei seit Jahrzehnten ein Klassiker, 
den auch Telegram praktiziert und da- 
mit Bösewichten eine Plattform bietet 
-zu deren und zu Telegrams Vorteil. 

Telegram ist zwar ursprünglich als 
Messenger gestartet, aber durch neue 
Funktionen wie Gruppen mit bis zu 
200.000 Mitgliedern und Kanäle, de- 
nen unbegrenzt viele Menschen folgen 
können und die öffentlich einsehbar 
sind, wird Telegram als soziales Netz- 
werk verwendet. Als solches fällt es 
unter das deutsche Netzwerkdurchset- 
zungsgesetz (NetzDG). Das heißt auch, 
dass Telegram eine Ansprechperson für 
die deutsche Justiz bereitstellen, einen 
einfachen Meldeweg für strafbare In- 
halte einrichten und über diese Inhalte 
innerhalb von sieben Tagen eine Ent- 
scheidung treffen muss. Offensichtlich 
strafbare Inhalte müssten innerhalb von 
24 Stunden gelöscht werden. Der Unter- 
scheidung zu klassischen Messengern, 
auf die das NetzDG nicht anwendbar ist, 
liegt die Überlegung zugrunde, dass es 
sich bei sozialen Netzwerken um Werk- 
zeuge der Massenkommunikation han- 
delt, die Messenger dagegen der Indivi- 
dualkommunikation dienen. 

Das Unternehmen selbst mit forma- 
lem Sitz in Dubai stellt sich quer und hat 
bisher alle Verfahren wegen Verstößen 
gegen das NetzDG sowie die massenhaf- 
ten Anfragen des Bundeskriminalamtes 
(BKA) ignoriert. In seiner FAQ gibt Te- 
legram auch an keine Löschanfragen zu 
privaten Konversationen und Gruppen- 
chats zu beantworten. Das Unterneh- 
men verfolgt explizit das Ziel den Usern 
eine Plattform an die Hand zu geben, die 
nicht von Regierungen kontrolliert wer- 
den kann. Dies ist in Diktaturen für die 
Opposition zweifellos ein Segen, doch 
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in demokratischen Rechtsstaaten wird 
dies zur Katastrophe. Die Kanäle von At- 
tila Hildmann hat das Unternehmen ge- 
löscht; allerdings wird spekuliert, dass 
das erst auf Druck der App-Store-Anbie- 
ter Apple und Google hin geschehen ist. 

Gegen Dienste wie Telegram gibt es 
so lange nur beschränkt wirksame Mit- 
tel, solange sich die beteiligten Staaten 
nicht auf gemeinsame Prinzipien bei 
der Bekämpfung von Kriminalität und 
gemeinschaftsschädlicher Nutzung des 
Internets verständigen. Diese Prinzipi- 
en sollten im besten Fall völkerrechtlich 
festgeschrieben und in internationaler 
Kooperation durchgesetzt werden. Da- 
von sind wir aber noch weit entfernt, 
solange autoritäre Staaten wie z.B. 
China und Russland meinen, sie kön- 
nen daraus einen Nutzen ziehen, dass 
demokratische Gesellschaften durch 
Cyberattacken, Hatespeach und Fa- 
kenews destabilisiert werden. Diese 
„Logik“ wird langfristig aber nicht ver- 
fangen. Daher sollten Bemühungen zur 
internationalen Kooperation bei der 
Bekämpfung nicht nur von klassischer 
Cyberkriminalität, also Online-Betrug, 
Identitätsdiebstahl, Ransomware-Atta- 
cken und Spionage, sondern auch vor 
Hass im Netz verstärkt werden. Esist ein 
langer Weg, bis auch Staaten wie Dubai 
bzw. die Vereinigten Arabischen Emira- 
te, wo sich offenbar Telegram versteckt, 
in eine globale Internetregulierung in- 
tegriert sind. 

Leider - und das gehört zum Thema 
- nutzen auch große Plattformanbieter 
Hass und Fakenews im Internet, um 
höhere Klickzahlen und längere On- 
line-Zeiten der Nutzer zu produzieren. 
Die Whistleblowerin Francis Haugen 
hat dies bei Facebook bzw. Meta unwi- 
derleglich offengelegt. Diese Hass- und 
Fake-Economy hat das Internet unfrei- 
er gemacht. 

Kurzfristig muss gegenüber Telegram 
das Netzwerkdurchsetzungsgesetz an- 
gewandt werden. Telegram kann sich 
nicht darauf berufen als Messenger 
privilegiert zu sein. Nachdem seine 
Gründer angekündigt haben Werbung 
verkaufen zu wollen, liegt auch das 
Kriterium der Gewinnerzielungsab- 
sicht vor. Das Bundesamt für Justiz hat 
daher zu Recht im Sommer 2021 zwei 
Verfahren gegen Telegram eingeleitet 
wegen Nichtdurchführung von NetzDG- 


konformer Moderation und wegen der 
Nichtbestellung eines in Deutschland 
ansässigen Zustellungsbevollmächtig- 
ten. Die Strafe kann bis zu 50 Millionen 
Euro betragen. 

Sollte die Politik der Ansicht sein, 
dass der Wortlaut des NetzDG eine sol- 
che funktionsorientierte Betrachtung 
nicht hinreichend klar abbildet, so wäre 
es dem Gesetzgeber möglich dies kurz- 
fristig durch ein Update des Gesetzes 
klarzustellen. 

Die Plattform selbst darf aber nicht 
das einzige Ziel staatlicher Maßnahmen 
sein. Wenn es Hinweise auf Hass, Hetze 
und kriminelle Machenschaften gibt, 
müssen Sicherheitsbehörden die ver- 
wendeten Dienste für ihre Ermittlungs- 
arbeit selbst nutzen und die konkreten 
Gesetzesverstöße sanktionieren. 

Auch der Weg über die App-Stores von 
Google und Apple sollte zur Bekämpfung 
der Rechtsverstöße durch und von Tele- 
gram geprüft werden. Diese Gatekeeper 
können Telegram aus ihren App-Stores 
werfen, weil der Dienst Hass und Krimi- 
nalität eine Plattform bietet ohne zumut- 
bare Sicherungsmechanismen zugunsten 
betroffener User einzuziehen. Solche 
Sicherungsmechanismen - etwa eine 
Reichweitenbeschränkung der Gruppen 
- wären denkbar und für den Anbieter 
technisch auch leicht umzusetzen. 

Letztlich sind alle Messenger-User ge- 
fordert: Es ist offensichtlich, dass Tele- 
gram in Deutschland eine Plattform und 
ein Resonanzkörper auch für Kriminelle 
und Hetzer ist. Die User können durch 
ihr eigenes Kommunikationsverhalten 
dazu beitragen, dass Hass, Hetze und 
Aggressivität nicht toleriert werden. Es 
gibt seriösere Messenger, über die man 
sich verschlüsselt unbeobachtet und si- 
cher austauschen kann - Signal, Three- 
ma oder Wire. Ein Umzug dorthin von 
Telegram trägt dazu bei, dass die Spreu 
vom Weizen getrennt wird. 

Mittelfristig wird der Digital Service 
Act (DSA) europaweit koordinierte Ak- 
tivitäten ermöglichen. Mit dem DSA 
werden Plattformen künftig stärker in 
die Verantwortung genommen. Er wird 
auch Messengerdienste regulieren. 
Zwar fallen kleinere Dienste wie Tele- 
gram nicht unter die harten Modera- 
tions- und Transparenzpflichten wie Fa- 
cebook, doch können nach dem Entwurf 
Gerichte und Behörden sehr wohl An- 
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ordnungen zur Beendigung von Rechts- 
verletzungen durch konkrete rechtsver- 
letzende Inhalte treffen. 

Es gilt das Marktortprinzip. Auslän- 
dische Unternehmen müssen sich an 


Arnold von Bosse 


die europäischen Regeln halten, wenn 
sie ihr Angebot auf den europäischen 
Markt und auf Userinnen und User dort 
ausrichten. Mit dem DSA wird ein euro- 
päisch konzertiertes Vorgehen möglich 


sein. Die Erfahrungen mit Telegram eig- 
nen sich als Beispiel, um die Wirksam- 
keit der geplanten DSA-Maßnahmen zu 
überprüfen. 


Handeln von Polizei und Verfassungsschutz in MV ver- 
fassungswidrig - Klage zur Internet-Bestandsdaten- 
auskunft beim Landesverfassungsgericht MV erfolgreich 


Besprechung zum Beschluss des Landesverfassungsgerichts Mecklenburg-Vorpommern 


v. 28.10.2021 - LVerfG 3/14 


Das Landesverfassungsgericht Meck- 
lenburg-Vorpommern hat am 28.10.2021 
entschieden, dass die gesetzlichen Rege- 
lungen zur Bestandsdatenauskunft (ab- 
gerufen durch die Sicherheitsbehörden 
bei den Internet-Providern in strafrecht- 
lichen Verdachtsfällen) in Mecklenburg- 
Vorpommern in relevanten Teilen verfas- 
sungswidrig sind. 

Die vor allem von Mitgliedern der Par- 
tei Bündnis 90/Die Grünen erhobene 
Klage wurde in den Datenschutz Nach- 
richten 4/2014 besprochen (S. 162 ff.). 

Der Entscheidung, der eine Abwä- 
gung von Datenschutz auf der einen 
und Sicherheitsinteressen auf der ande- 
ren Seite zugrunde liegt, ist nun - nach 
7 Jahren Verfahrensdauer - zuzustim- 
men. Die aktuelle Praxis, nach der Po- 
lizei und Verfassungsschutz auch ohne 
das Vorliegen einer „konkreten Gefahr” 
Bestandsdaten wie Telefonnummern, 
Namen, Geburtsdaten und Adressen 
bei den Providern abfragen können, ist 
rechtswidrig und muss beendet werden. 

Das Landesverfassungsschutzgesetz 
M-V und das Sicherheits- und Ordnungs- 
gesetz M-V müssen nun vor diesem Hin- 
tergrund durch die Landesregierung no- 
velliert werden, um die Grundrechte auf 
„informationelle Selbstbestimmung“ 
(Art.2 GG) und auf „Wahrung des Brief-, 
Post- und Fernmeldegeheimnisses” 
(Art. 10 GG) wieder zu gewährleisten. 

& 24b des Gesetzes über den Verfas- 
sungsschutz im Lande M-V und 8 33h des 


14 


Gesetzes über die öffentliche Sicherheit 
und Ordnung in M-V erlauben den Sicher- 
heitsbehörden bei Telefon- und Internet- 
providern Auskünfte zu Bestandsdaten 
einzuholen. Beide Normen sehen für die 
Einholung von Bestandsdatenauskünf- 
ten aktuell nicht hinreichend begrenzen- 
de Eingriffsschwellen, wie zum Beispiel 
das Vorliegen einer „konkreten Gefahr“, 
vor. Dies wurde vom Gericht als verfas- 
sungswidrig eingestuft. 

Das Landesverfassungsgericht unter- 
scheidet - so wie das in Bezug genom- 
mene Bundesverfassungsgericht mit 
Beschluss v. 27.5.2020, 1 BvR 1873/13 
- zwischen der Übermittlung der Daten 
durch die Provider und dem Abruf der 
Daten durch die Verfassungsschutz- 
und Polizeibehörden (sog. Doppeltüren- 
Modell). Die Regelungen zum Abruf 
werden durch das Gericht kritisiert: Das 
Gericht prägt den Begriff der Notwen- 
digkeit der „konkreten begrenzenden 
Eingriffsschwelle”. Diese ist in den Ge- 
setzen nicht deutlich genug normiert. 
Das Gericht spricht auch von der feh- 
lenden „Normenklarheit” und dass die 
„Verhältnismäßigkeit” von Eingriff und 
Zweck nicht hinreichend gegeben sei. 

Wie diese Regelungen konkret in den 
künftigen Gesetzen im Einzelnen aus- 
formuliert werden müssen, überlässt 
das Gericht dem Landesgesetzgeber, da 
das Gericht nur den Rahmen und die 
Vorgaben gibt. Man hätte sich hier je- 
doch noch weitere Hinweise gewünscht, 


wie solche Schwellen aussehen sollten. 
Dies betrifft z.B. den zu fordernden Be- 
griff der „Erforderlichkeit” anlässlich 
des Abrufes der Bestandsdaten. 

Besonders widmet sich das Gericht 
den Bestandsdaten in den sog. dyna- 
mischen IP-Adressen (anhand der IP- 
Adressen können die Sicherheitsbehör- 
den erkennen, wie der Verdächtige im 
Internet gesurft ist, d.h. welche Seiten 
er angeklickt hat). Dies lässt eine inten- 
sivere Sicht der Behörden auf persönli- 
che Vorlieben zu, deren Vertraulichkeit 
besonders geschützt ist. 

Daher fordert der Beschluss mit Recht 
die „Beschränkung auf Eingriffsbefug- 
nisse” im Hinblick nur auf „Rechtsgü- 
ter von besonderem Gewicht”. D.h., es 
müssen besonders gewichtige Rechts- 
güter, wie z.B. das Leben von Personen, 
konkret gefährdet sein. Die bisheri- 
gen Regelungen verstoßen gegen das 
Grundrecht auf Entfaltung der Persön- 
lichkeit in der Ausprägung des „Rechts 
auf informationelle Selbstbestimmung” 
(Art. 1 und 2 GG und die entsprechen- 
den Landesverfassungsregelungen). 

Die zum Abruf von sog. Zugangsda- 
ten (Passwörter, PIN, PUK, Zugang zu 
E-Mail-Konten oder Cloud-Speichern) 
ermächtigenden 8 24b (1) Satz 2 LVerf- 
SchG und 8 33h (1) Satz 2 SOG M-V 
werden im Beschluss dagegen als „für 
sich genommen hinreichend begrenzt 
und verhältnismäßig” angesehen. Eine 
Auskunft darf gemäß diesen Vorschrif- 


DANA ® Datenschutz Nachrichten 1/2022 


ten nur verlangt werden, wenn „die 
gesetzlichen Voraussetzungen” für die 
Nutzung der Daten vorliegen. Hier hät- 
te man sich gewünscht, dass das Ge- 
richt verlangt hätte, dass konkret die 
einzelnen sog. „gesetzlichen Voraus- 
setzungen” zur Nutzungsberechtigung 
der Daten in den Normen zu nennen 
sind: Dies wäre ein Gebot der auch an 
anderer Stelle vom Gericht geforderten 
sog. Normenklarheit gewesen und wäre 
nicht nur für die Sicherheitsbehörden 
praxistauglicher. 


Schließlich verlangt der Beschluss 
richtigerweise, dass bei der Verfolgung 
von Ordnungswidrigkeiten die Eingriffe 
und der Abruf der Daten nur bei „beson- 
ders gewichtigen Ordnungswidrigkei- 
ten” zulässig seien. 

Dies und dass z.B. nur „Rechtsgüter 
von hervorgehobenem Gewicht” tan- 
giert sein dürfen, müssen die Sicher- 
heitsbehörden schon ab Urteilsverkün- 
dung, also ab jetzt, berücksichtigen, 
obwohl der Landesgesetzgeber für die 
zu korrigierenden Gesetze noch bis zum 


Presseerklärung der DVD vom 04.01.2022 


31.10.2022 Zeit hat. Insgesamt ist der 
Beschluss im Sinne des ausgewogenen 
Datenschutzes sehr zu begrüßen. 
(Anmerkung: Der Autor hat anläss- 
lich des Einlegens der Verfassungsbe- 
schwerde diese in der DANA 4/2014, 
162-164 dargestellt. Die Entscheidung 
des LVerfG M-V findet sich im Netz unter 
https://www.mv-justiz.de/static/MVJ/ 
Gerichte/Landesverfassungsgericht/ 
Entscheidungen/2021/LVerfG%20 
3.14%20Beschluss%20anonym.pdf). 


DVD: „Impfregister ist datenschutzkonform möglich” 


xD, 


Bild: iStock | Leonsbox 


Die Diskussion über eine Impfpflicht 
gegen Covid19 bzw. das Corona-Virus ist 
in vollem Gange. Klar ist dabei, dass eine 
solche generelle Impfpflicht der gesam- 
ten Bevölkerung nur über eine Corona- 
Impfregistrierung durchgesetzt und 
kontrolliert werden kann. Bundesjustiz- 
minister Marco Buschmann hat sich nun 
dazu geäußert und behauptet, dass Da- 
tenschützer gegen ein solches Impfregis- 
ter seien. Damit reiht sich der Minister in 
eine lange Reihe von Politikern ein, die 
das Datenschutzargument vorschieben. 
Die Deutsche Vereinigung für Daten- 
schutz e.V. (DVD) weist darauf hin, dass 
Datenschutz einer wirksamen Virusbe- 
kämpfung nie wirklich entgegenstand 
und dass Impfregister datenschutzkon- 
form gestaltet werden können: 

Der Aufbau einer Impfregistrierung 
bedarf, wie jede staatliche informati- 
onelle Maßnahme, einer gesetzlichen 
Grundlage, bei der die Eingriffe normen- 
klar beschrieben und zugleich zur Wah- 
rung der Verhältnismäßigkeit rechtliche 
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Datenschutzvorkehrungen getroffen 
werden. Aus Sicht der DVD gibt es legi- 
time Argumente für eine Impfregistrie- 
rung der Bevölkerung im Interesse der 
Gesundheit. Für die Rechtmäßigkeit 
eines solchen Vorhabens und auch um 
das Vertrauen der Bevölkerung zu ge- 
währleisten, muss die Zweckbindung 
der Daten gewahrt werden. Dafür ist 
eine Etablierung dieser Registrierung 
in der Gesundheitsverwaltung sinnvoll. 
Diese sollte, um eine zu starke Zentra- 
lisierung zu vermeiden, bei den Lan- 
desgesundheitsämtern - mit einheit- 
licher Software - erfolgen, denen ein 
Austausch untereinander erlaubt wird, 
um Doppelerfassungen zu vermeiden. 
Durch eine Etablierung der Register bei 
den Landesgesundheitsämtern würde 
zudem die Kommunikation mit den ört- 
lichen Gesundheitsämtern vereinfacht. 
Die Sanktionierung von Verstößen ge- 
gen eine mögliche Impfpflicht sollte der 
ärztlichen Fachverwaltung übertragen 
werden, die dem Patientengeheimnis 
unterliegt. Als Datengrundlage kann 
auf die Daten der Meldebehörden zu- 
rückgegriffen werden. Es sollte aber da- 
raufgeachtet werden, dass die sensiblen 
Gesundheitsdaten von der allgemeinen 
Ordnungsverwaltung und insbesondere 
der Polizei so weit wie möglich getrennt 
gehalten werden. 

Bei einer Impfregistrierung sollte 
man sich nicht darauf beschränken le- 


diglich den Impfstatus der Menschen zu 
erfassen. Sinnvoll ist auch die Speiche- 
rung von Arbeitsverhältnissen im Be- 
reich kritischer Infrastrukturen, um im 
Bedarfsfall kurzfristig zusätzlich nötige 
Impfangebote organisieren zu können. 
Sinnvoll ist aus Sicht der DVD auch die 
Aufnahme von Angaben, mit denen die 
gesundheitlichen Folgen der Impfung 
sowie Erkrankungen, also Impfdurch- 
brüche, erfasst werden. Der Zugriff auf 
diese Daten muss aber der unabhängi- 
gen Forschung vorbehalten bleiben, die 
zur Wahrung eines Forschungsgeheim- 
nisses rechtlich verpflichtet wird. Da- 
durch werden zeitnahe Aussagen über 
den Infektionsverlauf ermöglicht - wo- 
ran esin Deutschland seit Ausbruch der 
Pandemie fehlt. 

Thilo Weichert, DVD-Vorstandsmit- 
glied und Experte im Bereich des Ge- 
sundheitsdatenschutzes, erläutert: 
„Gesundheitsschutz und Datenschutz 
dürfen nicht gegeneinander ausgespielt 
werden. Dies darf sich im dritten Coro- 
najahr nicht fortsetzen. Omikron hat 
uns gezeigt, dass wir wohl mittelfristig 
mit dem Virus leben müssen. Dies be- 
deutet, dass schnell und grundrechts- 
schonend gehandelt werden muss. 
Dies ist durch die Digitalisierung der 
Gesundheitsverwaltung und durch eine 
grundrechtskonforme Gesetzgebung 
auch möglich. Es geht nicht darum "Be- 
denken second‘ zu behandeln. Gesund- 
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heitsschutz, Digitalisierung und Daten- 
schutz passen - mit gutem Willen und 
klugem Handeln - gut zusammen.” 
Frank Spaeing, Vorsitzender der DVD, 
ergänzt: „Die oft in Debatten geäußer- 


te Behauptung, der Datenschutz stün- 
de (u.a.) der Pandemiebekämpfung im 
Wege, ist toxisch. Wir wünschen uns 
von der neuen Bundesregierung und 
den Koalitionspartnern, dass sie mit 


dieser unleidigen Tradition brechen. 
Datenschützer stehen im konkreten Fall 
den Gesundheitspolitikern gerne zum 
Dialog zur Verfügung.” 


Presseerklärung der Gesellschaft für Freiheitsrechte e.V. (GFF) vom 13.01.2022 


GFF-Studie: Das Ausländerzentralregister verletzt 
Datenschutzstandards und die Grundrechte Millionen 


Betroffener 


Zu viele Behörden können auf zu viele 
Daten für zu unterschiedliche Zwecke 
zugreifen - ohne ausreichende Kont- 
rolle. Dies ist das Fazit der heute veröf- 
fentlichten Studie „Das Ausländerzent- 
ralregister - eine Datensammlung außer 
Kontrolle“ der Gesellschaft für Freiheits- 
rechte e.V. (GFF). 

Die Studie ergänzt ein von der GFF 
in Auftrag gegebenes, ausführliches 
Rechtsgutachten von Prof. Matthias Bä- 
cker, das ebenfalls heute veröffentlicht 
wird. Es kommt zu dem Ergebnis, dass 
das Ausländerzentralregister (AZR) das 
Grundrecht auf informationelle Selbst- 
bestimmung, das Diskriminierungsver- 
bot sowie grundlegende europarechtli- 
che Datenschutzstandards verletzt. 

Mit etwa 26 Millionen personenbezo- 
genen Datensätzen ist das Ausländer- 
zentralregister eines der umfangreichs- 
ten automatisierten Register. Es steht 
mehr als 16.000 öffentlichen Stellen 
zur Verfügung. Die Studie der GFF un- 
tersucht, welche Daten aus ganz unter- 
schiedlichen Lebensbereichen das AZR 
über Ausländer*innen in Deutschland 
speichert, wie diese Daten nahezu allen 
deutschen Behörden zugänglich sind 
und welche Schutz- und Kontrollme- 
chanismen es auf dem Papier und in der 
Realität gibt. 

Es ist rechtlich nichts dagegen ein- 
zuwenden, Grunddaten über Nicht- 
Deutsche zum Zwecke der Migrati- 
onsverwaltung zu speichern. „Das 
Ausländerzentralregister verletzt aber 
dort Grundrechte und Datenschutzstan- 
dards, wo unzählige weitere Datensätze 
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gespeichert werden, die dann z.B. von 
Sicherheitsbehörden für völlig andere 
Zwecke genutzt werden können”, sagt 
Sarah Lincoln, Juristin bei der GFF und 
Autorin der Studie. Besonders betrof- 
fen hiervon sind Geflüchtete, über die 
neben Grundpersonalien, Adresse, Foto 
und aufenthaltsrechtlichen Angaben 
auch biometrische Daten sowie Anga- 
ben zu Gesundheit, Bildung, Familie 
und Fluchtgründe gespeichert werden. 
„Der Umfang der gespeicherten Da- 
ten ist unverhältnismäßig. Wofür soll 
es erforderlich sein, künftig sogar die 
Asylbescheide mitsamt hochsensiblen 
Angaben zu Flucht, psychischer Verfas- 
sung oder politischer Verfolgung zentral 
zu speichern und tausenden Behörden 
zugänglich zu machen?“, fragt Lincoln. 
Die Studie zeigt auch ein Folgeprob- 
lem dieser Datenfülle auf: „Wenn hun- 
derttausende Mitarbeiter*innen von 
Ausländerbehörden, Polizei- und Straf- 
verfolgungsbehörden, Nachrichten- 
diensten, Jobcenter, Jugendämtern und 
Gerichten auf so viele, teils hochsensib- 


le Daten zugreifen können, ist das Miss- 
brauchspotenzial enorm“, sagt Lincoln. 
„Im schlimmsten Fall geraten Daten wie 
Adresse, sexuelle Orientierung oder po- 
litische Überzeugung in die Hände von 
rassistisch motivierten Straftäter*innen 
oder Verfolgerstaaten und bringen Be- 
troffene so in Lebensgefahr.” 

An der Studie wird deutlich, dass es 
an effektiven Kontrollmechanismen und 
Transparenz fehlt. Die GFF unterstützte 
13 Betroffene dabei, Auskunft zu den 
über sie im AZR gespeicherten Daten 
zu beantragen und stellte fest: Das An- 
tragsverfahren ist mühsam, die Antwor- 
ten verzögerten sich monatelang und 
waren unvollständig. 

Lincoln kritisiert die erhebliche Dis- 
kriminierung: „Eine derart umfang- 
reiche Datensammlung über deutsche 
Staatsbürger*innen, auf die u.a. alle 
Polizeibehörden nach Belieben zugrei- 
fen können, wäre undenkbar. Bei Ge- 
flüchteten und anderen Migrant*innen 
setzt sich die Bundesregierung seit 
Jahren über geltendes Recht hinweg. 
Das wollen wir ändern. Gemeinsam mit 
Betroffenen planen wir strategische 
Klagen gegen die verfassungswidrigen 
Regelungen des Ausländerzentralregis- 
tergesetzes”. 

Weitere Informationen sowie die Stu- 
die und das Rechtsgutachten zum AZR 
finden Sie hier: https://freiheitsrechte. 
org/studie-azr 

Bei Rückfragen wenden Sie sich an: 
Maria Scharlau, Pressesprecherin, Tel. 
030/549 08 10 55; mobil 01579 2493108, 
Mail: presse@freiheitsrechte.org 
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Pressemitteilung von Digitalcourage vom 27.01.2022 


Verwaltungsgericht hält Fingerabdruckpflicht für 


grundrechtswidrig 


Bild: iStock | Fayethequeen 


Ist die Speicherpflicht für Fingerab- 
drücke in Personalausweisen rechtmä- 
ßig? Diese Frage wird nun dem Europä- 
ischen Gerichtshof (EuGH) vorgelegt. 
Die Organisation Digitalcourage e.V., 
die sich für Grundrechte und Daten- 
schutz einsetzt, hatte in erster Instanz 
gegen die Speicherpflicht geklagt. Das 
Verwaltungsgericht Wiesbaden folgt der 
Argumentation des Vereins und zwei- 
felt die Rechtmäßigkeit der Fingerab- 
druckspflicht an. Da die deutsche Spei- 
cherpflicht auf einer EU-Verordnung ba- 
siert, muss nun der EuGH entscheiden. 

Die Speicherpflicht gilt in Deutsch- 
land seit dem 2. August 2021. Seitdem 
müssen bei der Beantragung eines neu- 
en Personalausweises die Fingerabdrü- 
cke beider Zeigefinger auf dem Chip des 
Ausweises gespeichert werden. 


Nicht vereinbar mit europäischem 
Grundrecht auf den Schutz personen- 
bezogener Daten 


Die Speicherung von Fingerabdrü- 
cken wurde eingeführt, um eine an- 
geblich bessere Fälschungssicherheit 
bei Personalausweisen zu erreichen. 
Digitalcourage zweifelt an, dass dieser 
Zweck überhaupt erfüllt wird. Denn eine 
Übereinstimmung der Fingerabdrücke 
einer Person mit den gespeicherten Ab- 
drücken aufihrem Ausweis macht ledig- 
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lich klar, dass der Ausweis zur Person 
gehört. Die Echtheit des Ausweises - 
und damit die Identität der Person - be- 
weist eine Übereinstimmung aber nicht. 
Die Speicherung der Fingerabdrücke auf 
dem Chip kann also höchstens für eini- 
ge Zeit Fälschungen aufwendiger und 
teurer machen - bis professionelle Fäl- 
schungswerkstätten dementsprechend 
nachgerüstet haben. Dieser Vorsprung 
rechtfertigt aber auch nach Ansicht 
des Verwaltungsgerichtes nicht den 
schwerwiegenden Eingriff in die Grund- 
rechte aller europäischen Bürger.innen. 

„Wenn es zu einem Datenleck kommt, 
können wir unsere Passwörter ändern; 
wenn es sein muss auch die Handynum- 
mer. Wenn unsere biometrischen Daten 
in falsche Hände geraten, können wir 
dagegen nichts tun. Von einem Daten- 
leck, das biometrische Informationen 
umfasst, wären wir unser ganzes Leben 
lang betroffen”, sagt Julia Witte von Di- 
gitalcourage. 

Dem deutschen Bundesamt für Si- 
cherheit in der Informationstechnik 
(BSI) scheint der Ausweis auch ohne 
Fingerabdrücke schon sicher genug zu 
sein. Aufseiner Website erklärt das Amt, 
dass ein Ausweis auch gültig bleibe, 
wenn der Speicherchip defekt sei, denn 
„die Sicherheit als Ausweisdokument ist 
durch die physischen Sicherheitsmerk- 
male gegeben“. Das wirft beim Verwal- 
tungsgericht die Frage auf, warum die 
Fingerabdruckpflicht dann nötig sein 
soll. Auch die Anzahl der Fälschungen 
rechtfertigt die Maßnahme nicht, findet 
das Verwaltungsgericht Wiesbaden und 
zitiert eine Stellungnahme des Europä- 
ischen Datenschutzbeauftragten, die 
von 38.870 gefälschten Identitätskar- 
ten in den Jahren 2013-2017 spricht. 

„Dieser verschwindend geringen An- 
zahl von Fälschungen gegenüber stehen 
370 Mio. EU-Bürgerinnen und Bürger, 
deren intimste biometrische Informa- 
tionen hier für ein Wettspiel zwischen 
Sicherheitsbehörden und Fälschungs- 


werkstätten in den Ring geworfen wer- 
den“, sagt padeluun, Gründungsvor- 
stand von Digitalcourage. 

Auch die Form der Speicherung ist 
problematisch: Für einen Abgleich der 
Fingerabdrücke hätte es gereicht, nur 
bestimmte Teilinformationen der Ab- 
drücke zu speichern. Die EU-Vorschrift 
legt aber fest, dass auf den Personal- 
ausweisen Bilder des gesamten Fin- 
gerabdrucks gespeichert werden. Das 
widerspricht dem in der Europäischen 
Datenschutzgrundverordnung festge- 
legten Prinzip der Datenminimierung 
bzw. Datensparsamkeit. 

Konstantin Macher von Digitalcoura- 
ge meint dazu: „Erfahrungsgemäß ist 
bei einem Datenleck die Frage nicht ob, 
sondern wann es passiert. Die Speiche- 
rung unserer kompletten Fingerabdrü- 
cke vergrößert die Gefahr eines Iden- 
titätsdiebstahls, sobald der RFID-Chip 
geknackt ist.” 


Urteil des EuGH entscheidet über 
Speicherpflicht bei deutschen Perso- 
nalausweisen 


Der Fall muss nun vor dem EuGH ver- 
handelt werden. Außer der klagenden 
Seite können nun zunächst auch noch 
die EU-Mitgliedsstaaten, die Kommis- 
sion und der Generalanwalt beim EuGH 
Stellung nehmen. Sollte der europäi- 
sche Gerichtshof die EU-Verordnung 
kippen, dann wäre das explizit darauf 
aufbauende deutsche Gesetz nicht mehr 
haltbar. 


Mehr zum Thema auf der Website von 
Digitalcourage: https://digitalcourage. 
de/blog/2022/fingerabdruckpflicht- 
wird-eugh-vorgelegt 


Der Vorlagebeschluss des Verwal- 
tungsgerichts Wiesbaden als PDF: 
https://digitalcourage.de/sites/ 
default/files/2022-01/Beschluss_VG_ 
Wiesbaden_Perso_ohne_Finger.pdf 
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Digitalisierung und Datenschutz im Koalitionsvertrag 
2021-2025 der Parteien SPD, Bündnis 90/Die Grünen, FDP: 


Mehr Fortschritt wagen - Bündnis für Freiheit, 
Gerechtigkeit und Nachhaltigkeit 


(S. 4) I. Präambel - Was das Land he- 
rausfordert: ... Zugleich verändert die 
Digitalisierung die Art und Weise wie wir 
wirtschaften, arbeiten und miteinander 
kommunizieren. .... 

(S. 5) Was wir voranbringen wollen: ... 
Wir bringen eine umfassende Digitalisie- 
rung der Verwaltung voran. ... Die öffent- 
lichen Investitionen insbesondere in Kli- 
maschutz, Digitalisierung, Bildung und 
Forschung werden wir im Rahmen der 
bestehenden Schuldenregel des Grund- 
gesetzes gewährleisten, Anreize für pri- 
vate Investitionen setzen und Raum für 
unternehmerisches Wagnis schaffen, um 
so Wachstum zu generieren. 

(S. 8) II. Moderner Staat, digitaler 
Aufbruch und Innovationen: ... Ein 
Staat, der die Kooperation mit Wirt- 
schaft und Zivilgesellschaft sucht, mehr 
Transparenz und Teilhabe in seinen Ent- 
scheidungen bietet und mit einer un- 
komplizierten, schnellen und digitalen 
Verwaltung das Leben der Menschen 
einfacher macht. Wir wollen das Po- 
tenzial der Digitalisierung in Staat und 
Gesellschaft besser nutzen. Unser Ziel 
ist die flächendeckende Versorgung mit 
Glasfaser und dem neuesten Mobilfunk- 
standard. Wir werden digitale Schlüs- 
seltechnologien fördern und die Be- 
dingungen für Start-ups am Technolo- 
giestandort verbessern. Wir haben Lust 
auf Neues und werden technologische, 
digitale, soziale und nachhaltige Inno- 
vationskraft befördern. Durch bessere 
Rahmenbedingungen für Hochschule, 
Wissenschaft und Forschung wollen wir 
den Wissenschaftsstandort kreativer 
und wettbewerbsfähiger machen. 

(S.9) Verwaltungsmodernisierung: Die 
Verwaltung soll agiler und digitaler wer- 
den. ... Die Digitalisierung wird zu einem 
allgemeinen und behördenübergreifen- 
den Kernbestandteil der Ausbildung. ... 

(S. 10) Transparenz: ... Wir werden 
das Lobbyregistergesetz nachschärfen, 
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Kontakte zu Ministerien ab Referenten- 
ebene einbeziehen und den Kreis der 
eintragungspflichtigen Interessenver- 
tretungen grundrechtsschonend und 
differenziert erweitern. ... Wir wollen 
die Nationalen Aktionspläne im Rah- 
men der Open-Government-Partnership 
(OGP) Deutschlands umsetzen und wei- 
terentwickeln. ... Parteiensponsoring 
werden wir ab einer Bagatellgrenze ver- 
öffentlichungspflichtig machen. ... Wir 
wollen das Parteiengesetz auf den Stand 
der Zeit bringen und dabei insbeson- 
dere den Parteien mehr (S. 11) digitale 
Beschlussfassungen und im Rahmen der 
verfassungsrechtlichen Grenzen digi- 
tale Wahlen ermöglichen. ... Die Infor- 
mationsfreiheitsgesetze werden wir zu 
einem Bundestransparenzgesetz wei- 
terentwickeln. .... 

(S. 12) Planungs- und Genehmi- 
gungsbeschleunigung: ... Für eine 
Personal- und Weiterbildungsoffensi- 
ve sowie die Digitalisierung auf allen 
Ebenen streben wir einen verlässlichen 
und nachhaltigen Pakt für Planungs-, 
Genehmigungs- und Umsetzungsbe- 
schleunigung mit den Ländern an. ... 
Die Digitalisierung von Planungs- und 
Genehmigungsprozessen werden wir 
priorisiert umsetzen. Wir werden Be- 
hörden mit notwendiger Technik aus- 
statten, IT-Schnittstellen zwischen 
Bund und Ländern standardisieren und 
das digitale Portal für Umweltdaten zu 
einem öffentlich nutzbaren zentralen 
Archiv für Kartierungs- und Artenda- 
ten ausbauen. Bereits erhobene Daten 
sind, ggf. durch Plausibilisierungen, 
möglichst lange nutzbar zu machen. 
... Die digitalen Möglichkeiten des Pla- 
nungssicherstellungsgesetzes werden 
wir nahtlos fortsetzen und insbesondere 
im Hinblick auf die Bürgerbeteiligung 
weiterentwickeln. 

(S. 15) Digitale Innovationen und 
digitale Infrastruktur: Deutschland 


braucht einen umfassenden digitalen 
Aufbruch. Wir wollen das Potenzial der 
Digitalisierung für die Entfaltungs- 
möglichkeiten der Menschen, für Wohl- 
stand, Freiheit, soziale Teilhabe und 
Nachhaltigkeit nutzen. Dafür werden 
wir uns ambitionierte und überprüfba- 
re Ziele setzen sowie realistische und 
schnell spürbare Maßnahmen ergreifen. 
Kompetenzen in der Bundesregierung 
werden neu geordnet und gebündelt, 
ein zentrales zusätzliches Digitalbudget 
eingeführt und Gesetze einem Digitali- 
sierungscheck unterzogen. Die Verwal- 
tung wird digitaler und konsequent bür- 
gerorientiert. Wir fördern digitale Inno- 
vationen sowie unternehmerische und 
gesellschaftliche Initiative und setzen 
auf offene Standards und Diversität. Wir 
stärken die Digitalkompetenz, Grund- 
rechte, Selbstbestimmung und den 
gesellschaftlichen Zusammenhalt. Wir 
sorgen für Sicherheit und Respekt auch 
in Zeiten des Wandels. Wir machen aus 
technologischem auch gesellschaftli- 
chen Fortschritt. Dabei ist uns bewusst: 
Ein digitaler Aufbruch, der unsere Wer- 
te, die digitale Souveränität und einen 
starken Technologiestandort sichert, 
gelingt nur in einem fortschrittlichen 
europäischen Rahmen. 

Digitaler Staat und digitale Verwal- 
tung: Die Menschen erwarten vom Staat 
einfach handhabbare und zeitgemäße 
digitale Leistungen, nutzerorientiert, 
medienbruchfrei und flächendeckend. 
Lösungen durch Automation - wie die 
automatisierte Auszahlung der Kin- 
dergrundsicherung - setzen wir pri- 
oritär um. Die Weiterentwicklung des 
Onlinezugangsgesetzes (0ZG) geht mit 
einer ausreichenden Folgefinanzierung 
einher, mit der eine klare Standardi- 
sierung und Vereinheitlichung von 
IT-Verfahren nach dem Einer-für-alle- 
Prinzip (EfA) unterstützt wird. Im Rah- 
men der IT-Konsolidierung schaffen wir 
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klare Verantwortlichkeiten und führen 
die IT-Budgets des Bundes zentral zu- 
sammen. ... Digitalisierungshemmnisse 
(Schriftform u. a.) bauen wir mittels 
Generalklausel ab und vereinheitlichen 
Begriffe (z.B. „Einkommen“). Ein ver- 
trauenswürdiges, allgemein anwend- 
bares Identitätsmanagement sowie die 
verfassungsfeste Registermodernisie- 
rung haben Priorität. Für öffentliche IT- 
Projekte schreiben wir offene Standards 
fest. Entwicklungsaufträge werden in 
der Regel als Open Source beauftragt, 
die entsprechende Software wird grund- 
sätzlich öffentlich gemacht. Auf Basis 
einer Multi-Cloud Strategie und offener 
Schnittstellen sowie strenger Sicher- 
heits- und Transparenzvorgaben bauen 
wir eine Cloud der öffentlichen Verwal- 
tung auf. 

(S. 16) Digitale Infrastruktur: ... Wir 
prüfen Wege hin zu einer besseren digita- 
len Teilhabe für alle, z.B. durch Barriere- 
freiheit. Wir sichern die Netzneutralität. 

Bürgerrechte und IT-Sicherheit: Wir 
stärken digitale Bürgerrechte und IT- 
Sicherheit. Sie zu gewährleisten ist 
staatliche Pflicht. Wir führen ein Recht 
auf Verschlüsselung, ein wirksames 
Schwachstellenmanagement, mit dem 
Ziel Sicherheitslücken zu schließen, und 
die Vorgaben „security-by-design/de- 
fault” ein. Auch der Staat muss verpflich- 
tend die Möglichkeit echter verschlüssel- 
ter Kommunikation anbieten. Hersteller 
haften für Schäden, die fahrlässig durch 
IT-Sicherheitslücken in ihren Produkten 
verursacht werden. Die Cybersicherheits- 
strategie und das IT-Sicherheitsrecht 
werden weiterentwickelt. Darüber hin- 
aus sichern wir die digitale Souveränität, 
u. a. durch das Recht auf Interoperabili- 
tät und Portabilität sowie das Setzen auf 
offene Standards, Open Source und eu- 
ropäische Ökosysteme, etwa bei 5G oder 
KI. Wir leiten einen strukturellen Umbau 
der IT-Sicherheitsarchitektur ein, stel- 
len das Bundesamt für Sicherheit in der 
Informationstechnik (BSI) unabhängi- 
ger auf und bauen es als zentrale Stelle 
im Bereich IT-Sicherheit aus. Wir ver- 
pflichten alle staatlichen Stellen, ihnen 
bekannte Sicherheitslücken beim BSI 
zu melden und sich regelmäßig einer ex- 
ternen Überprüfung ihrer IT-Systeme zu 
unterziehen. Das Identifizieren, Melden 
und Schließen von Sicherheitslücken in 
einem verantwortlichen Verfahren, z.B. 
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in der II-Sicherheitsforschung, soll legal 
durchführbar sein. Hackbacks lehnen wir 
als Mittel der (S. 17) Cyberabwehr grund- 
sätzlich ab. Nicht-vertrauenswürdige 
Unternehmen werden beim Ausbau kriti- 
scher Infrastrukturen nicht beteiligt. 
Nutzung von Daten und Datenrecht: 
Die Potenziale von Daten für alle he- 
ben wir, indem wir den Aufbau von Da- 
teninfrastrukturen unterstützen und 
Instrumente wie Datentreuhänder, Da- 
tendrehscheiben und Datenspenden ge- 
meinsam mit Wirtschaft, Wissenschaft 
und Zivilgesellschaft auf den Weg brin- 
gen. Wir streben einen besseren Zugang 
zu Daten an, insbesondere um Start-ups 
sowie KMU neue innovative Geschäfts- 
modelle und soziale Innovationen in 
der Digitalisierung zu ermöglichen. Ein 
Dateninstitut soll Datenverfügbarkeit 
und -standardisierung vorantreiben, 
Datentreuhändermodelle und Lizenzen 
etablieren. Für Gebietskörperschaf- 
ten schaffen wir zu fairen und wettbe- 
werbskonformen Bedingungen Zugang 
zu Daten von Unternehmen, insofern 
dies zur Erbringung ihrer Aufgaben 
der Daseinsvorsorge erforderlich ist. 
Für alle, die an der Entstehung von Da- 
ten mitgewirkt haben, stärken wir den 
standardisierten und maschinenlesba- 
ren Zugang zu selbsterzeugten Daten. 
Mit einem Datengesetz schaffen wir für 
diese Maßnahmen die notwendigen 
rechtlichen Grundlagen. Wir fördern 
Anonymisierungstechniken, schaffen 
Rechtssicherheit durch Standards und 
führen die Strafbarkeit rechtswidriger 
De-anonymisierung ein. Wir führen 
einen Rechtsanspruch auf Open Data 
ein und verbessern die Datenexpertise 
öffentlicher Stellen. Die Datenschutz- 
grundverordnung (DSGVO) ist eine gute 
internationale Standardsetzung. Zur 
besseren Durchsetzung und Kohärenz 
des Datenschutzes verstärken wir die 
europäische Zusammenarbeit, institu- 
tionalisieren die Datenschutzkonferenz 
im Bundesdatenschutzgesetz (BDSG) 
und wollen ihr rechtlich, wo möglich, 
verbindliche Beschlüsse ermöglichen. 
Wir schaffen Regelungen zum Beschäf- 
tigtendatenschutz, um Rechtsklarheit 
für Arbeitgeber sowie Beschäftigte zu 
erreichen und die Persönlichkeitsrechte 
effektiv zu schützen. Wir setzen uns für 
eine schnelle Verabschiedung einer am- 
bitionierten E-Privacy-Verordnung ein. 


Digitale Gesellschaft: Wir werden das 
digitale Ehrenamt sichtbarer machen, 
unterstützen und rechtlich stärken. Die 
Zivilgesellschaft binden wir besser in 
digitalpolitische Vorhaben ein und un- 
terstützen sie, insbesondere in den Be- 
reichen Diversität und Civic Tech. Beim 
Digital Services Act setzen wir uns für 
die Wahrung der Kommunikationsfrei- 
heiten, starke Nutzerrechte, klare Mel- 
deverfahren, den Zugang zu Daten sehr 
großer Plattformen für Forschungszwe- 
cke, die Überprüfbarkeit ihrer algorith- 
mischen Systeme sowie klare Regelun- 
gen gegen Desinformationen ein. Auf 
Grundlage der europäischen Vorgaben 
werden wir den Rechtsrahmen (u. a. 
Telemediengesetz, TMG und Netzwerk- 
durchsetzungsgesetz, NetzDG) grund- 
legend überarbeiten. Den Aufbau von 
Plattformräten werden wir voranbrin- 
gen. Allgemeine Überwachungspflich- 
ten, Maßnahmen zum Scannen priva- 
ter Kommunikation und eine (S. 18) 
Identifizierungspflicht lehnen wir ab. 
Anonyme und pseudonyme Online- 
Nutzung werden wir wahren. Mit einem 
Gesetz gegen digitale Gewalt werden wir 
rechtliche Hürden für Betroffene, wie 
Lücken bei Auskunftsrechten, abbauen 
und umfassende Beratungsangebote 
aufsetzen. Wir schaffen die rechtlichen 
Rahmenbedingungen für elektronische 
Verfahren zur Anzeigenerstattung und 
für private Verfahren und ermöglichen 
richterlich angeordnete Accountsper- 
ren. Wir werden die Einrichtung einer 
Bundeszentrale für digitale Bildung 
prüfen. 

Digitale Schlüsseltechnologien: 
Investitionen in Künstliche Intelligenz 
(KT), Quantentechnologien, Cybersi- 
cherheit, Distributed-Ledger-Techno- 
logie (DLT), Robotik und weitere Zu- 
kunftstechnologien stärken wir messbar 
und setzen Schwerpunkte. Wir stärken 
strategische Technologiefelder z.B. 
durch Important Projects of Common 
European Interest (IPCEIs) und treiben 
den angekündigten EU Chips Act vor- 
an. Mit europäischen Partnerländern 
fördern wir die Zusammenarbeit star- 
ker europäischer Forschungsstandorte, 
insbesondere bei KI, und ermöglichen 
institutionelle Freiräume. Im Sinne ei- 
nes lernenden, technologiefördernden 
Staates setzen wir digitale Innovationen 
in der Verwaltung ein, schaffen notwen- 
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dige Rechtsgrundlagen und Transparenz. 
Wir unterstützen den europäischen Al 
Act. Wir setzen auf einen mehrstufigen 
risikobasierten Ansatz, wahren digitale 
Bürgerrechte, insbesondere die Diskri- 
minierungsfreiheit, definieren Haftungs- 
regeln und vermeiden innovationshem- 
mende ex-ante-Regulierung. Biometri- 
sche Erkennung im öffentlichen Raum 
sowie automatisierte staatliche Scoring 
Systeme durch KI sind europarechtlich 
auszuschließen. ... 

(S. 19) Digitale Wirtschaft: Wir unter- 
stützen ein Level Playing Field im Wett- 
bewerb und setzen uns für ambitionier- 
te Regelungen des Digital Markets Act 
(DMA) ein, die nicht hinter bestehende 
nationale Regeln zurückfallen dürfen. 
Dazu gehören auch europäisch einheit- 
liche Interoperabilitätsverpflichtungen 
und Regelungen zur Fusionskontrolle. 
Das Bundeskartellamt stärken wir im 
Umgang mit Plattformen. Wir fördern 
digitale Startups in der Spätphasenfi- 
nanzierung und stärken den Venture- 
Capital-Standort. Wir wollen den Anteil 
von Gründerinnen im Digitalsektor erhö- 
hen. Dafür schaffen wir ein Gründerin- 
nen-Stipendium und reservieren einen 
Teil des Zukunftsfonds. Öffentliche Aus- 
schreibungen und Beschaffungsprozesse 
gestalten wir z.B. für Gov- und EduTech- 
Start-ups einfacher. Wir werden die Mit- 
arbeiterkapitalbeteiligung für Start-ups 
attraktiver gestalten. Wir stärken den 
Games-Standort Deutschland und verste- 
tigen die Förderung. Wir stärken KMU bei 
der Digitalisierung durch unkomplizierte 
Förderung und bauen die Unterstützung 
für IT-Sicherheit, DSGVO-konforme Da- 
tenverarbeitung und den Einsatz digita- 
ler Technologien aus. 

(S. 20) Zukunftsstrategie Forschung: 
... Zentrale Zukunftsfelder sind unter 
anderem: ... Drittens: ein vorsorgen- 
des, krisenfestes und modernes Ge- 
sundheitssystem, welches die Chancen 
biotechnologischer und medizinischer 
Verfahren nutzt, und das altersabhän- 
gige Erkrankungen sowie seltene oder 
armutsbedingte Krankheiten bekämpft. 
Viertens: technologische Souveränität 
und die Potentiale der Digitalisierung, 
z.B. in Künstlicher Intelligenz und 
Quantentechnologie, für datenbasierte 
Lösungen quer durch alle Sektoren. ... 

(S. 21) Forschungsdaten: Das un- 
genutzte Potential, das in zahlreichen 
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Forschungsdaten liegt, wollen wir ef- 
fektiver für innovative Ideen nutzen. 
Den Zugang zu Forschungsdaten für öf- 
fentliche und private Forschung wollen 
wir mit einem Forschungsdatengesetz 
umfassend verbessern sowie vereinfa- 
chen und führen Forschungsklauseln 
ein. Open Access wollen wir als gemein- 
samen Standard etablieren. Wir setzen 
uns für ein wissenschaftsfreundlicheres 
Urheberrecht ein. Die Nationale For- 
schungsdateninfrastruktur wollen wir 
weiterentwickeln und einen Europäi- 
schen Forschungsdatenraum vorantrei- 
ben. Datenteilung von vollständig an- 
onymisierten und nicht personenbezo- 
genen Daten für Forschung im öffentli- 
chen Interesse wollen wir ermöglichen. 

(S. 24) Wissenschaftskommunikati- 
on und Partizipation: ... Wir setzen uns 
für die Förderung des Wissenschafts- 
journalismus durch eine unabhängige 
Stiftung, Weiterbildung für Entschei- 
dungsträgerinnen und Entscheidungs- 
träger, analoge und digitale Orte - von 
Forschungsmuseen bis Dashboards - 
ein. Wir werden mit Citizen Science und 
Bürgerwissenschaften Perspektiven aus 
der Zivilgesellschaft stärker in die For- 
schung einbeziehen. Open Access und 
Open Science wollen wir stärken. 

(S. 25) Industrie: Der Industrie 
kommt eine zentrale Rolle bei der Trans- 
formation der Wirtschaft mit Blick auf 
Klimaschutz und Digitalisierung zu. .... 

(S. 29) Gesundheitswirtschaft: Eine 
innovative Gesundheitswirtschaft ist 
Grundlage des weiteren medizinischen 
Fortschritts und birgt gleichzeitig viel 
Potenzial für Beschäftigung und Wohl- 
stand. Wir wollen weiter in Forschung 
investieren, um medizinische Spit- 
zenleistungen (wie u. a. aktuell die 
Anwendung der mRNA-Impfstoffe) zu 
ermöglichen. Wir setzen uns für High- 
Medizintechnik „made in Germany” ein. 
Zugleich wollen wir die Potenziale der 
Digitalisierung nutzen, um eine bessere 
Versorgungsqualität zu erreichen, aber 
auch Effizienzpotenziale zu heben. Da- 
mit die Beschäftigten des Gesundheits- 
wesens die digitale Transformation be- 
wältigen können, sind frühzeitige Wei- 
terbildungsangebote unerlässlich. ... 

(S. 31) Fairer Wettbewerb: ... Wir 
wollen eine Verpflichtung zur Inter- 
operabilität auf europäischer Ebene und 
über das GWB für marktbeherrschende 


Unternehmen verankern. Dabei sol- 
len - basierend auf internationalen 
technischen Standards - das Kommu- 
nikationsgeheimnis, ein hoher Daten- 
schutz und hohe IT-Sicherheit sowie 
eine durchgängige Ende-zu-Ende-Ver- 
schlüsselung sichergestellt werden. Die 
Datenportabilität soll gestärkt werden. 
Auf EU-Ebene setzen wir uns außerdem 
für eine Verabschiedung eines ambitio- 
nierten Digital Markets Act (DMA) sowie 
seine Durchsetzung durch die Wettbe- 
werbsbehörden der Mitgliedstaaten ein. 
Auf europäischer Ebene werden wir uns 
für eine Anpassung der Fusionskontrolle 
zur Unterbindung innovationshemmen- 
der strategischer Aufkäufe potenzieller 
Wettbewerber (sogenannte killer-acqui- 
sitions) einsetzen. 

(S. 32) Bürokratieabbau: ... Wir wer- 
den das „Once-only”-Prinzip schnellst- 
möglich einführen. Das bereits beschlos- 
sene Unternehmens-Basisdatenregister 
soll schnell umgesetzt und dessen Finan- 
zierung gesichert werden. Wir werden 
prüfen, inwiefern wir den Aufwand für 
und durch die rein elektronische Aufbe- 
wahrung von Belegen und Geschäftsun- 
terlagen verringern können. ... 

(S. 34) Vergaberecht: ... Wir wollen 
die rechtssichere Digitalisierung in die- 
sem Bereich vorantreiben und dazu eine 
anwenderfreundliche zentrale Platt- 
form schaffen, über die alle öffentlichen 
Vergaben zugänglich sind und die eine 
Präqualifizierung der Unternehmen 
ermöglicht. Wir wollen schnelle Ent- 
scheidungen bei Vergabeverfahren der 
öffentlichen Hand fördern und unter- 
stützen dabei Länder und Kommunen 
bei der Vereinfachung, Digitalisierung 
und Nachhaltigkeit. .... 

(S. 47) Digitalisierung in der Land- 
wirtschaft: Wir werden die von der 
Landwirtschaft und Ernährung benötig- 
ten öffentlichen Daten einfacher und in 
geeigneter Qualität und Aktualität den 
berechtigten Nutzern frei zur Verfügung 
stellen und dazu eine echte Plattform 
mit zentralem Zugang zu sämtlichen 
staatlichen Daten und Diensten ein- 
richten, insbesondere auch für entspre- 
chende Verwaltungsdienstleistungen. 
Staatliche Daten aller Verwaltungsebe- 
nen sollen künftig in einheitlichen For- 
maten zur Verfügung gestellt werden. 
Der Agrardatenraum in Gaia-X als Basis 
einer europäischen Dateninfrastruktur 
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mit klarem Nutzungsrecht für Landwirte 
an den betriebsspezifischen Daten, an 
deren Entstehung sie mitgewirkt haben, 
wird mit standardisierten Schnittstellen 
weiterentwickelt. Open-Source-Forma- 
te werden ausdrücklich unterstützt. ... 

(S. 50) Öffentlicher Verkehr und 
neue Mobilitätsangebote: ... Für eine 
nahtlose Mobilität verpflichten wir Ver- 
kehrsunternehmen und Mobilitätsan- 
bieter, ihre Echtzeitdaten unter fairen 
Bedingungen bereitzustellen. Anbieter- 
übergreifende digitale Buchung und 
Bezahlung wollen wir ermöglichen. Den 
Datenraum Mobilität entwickeln wir 
weiter. .... 

(S. 52) Autoverkehr: ... Wir schaffen 
ein Mobilitätsdatengesetz und stellen 
freie Zugänglichkeit von Verkehrsdaten 
sicher. Zur wettbewerbsneutralen Nut- 
zung von Fahrzeugdaten streben wir ein 
Treuhänder-Modell an, das Zugriffsbe- 
dürfnisse der Nutzer, privater Anbieter 
und staatlicher Organe sowie die Inte- 
ressen betroffener Unternehmen und 
Entwickler angemessen berücksichtigt. 
Im Gesetz zum autonomen Fahren wer- 
den wir die Regelungen verbessern, Haf- 
tungsfragen klären und die Datenhoheit 
der Nutzer sicherstellen. ... 

Verkehrsordnung: ... Wir wollen eine 
Öffnung für digitale Anwendungen wie 
digitale Parkraumkontrolle. ... 

(S. 71) Mitbestimmung: ... Die sozi- 
alökologische Transformation und die 
Digitalisierung kann nur mit den Arbeit- 
nehmerinnen und Arbeitnehmern wirk- 
sam gestaltet werden. Hinsichtlich die- 
ser Fragen werden wir das Betriebsräte- 
modernisierungsgesetz evaluieren. .... 

(S. 72) Digitale Plattformen: Digita- 
le Plattformen sind eine Bereicherung 
für die Arbeitswelt, deswegen sind gute 
und faire Arbeitsbedingungen wichtig. 
In diesem Sinne überprüfen wir beste- 
hendes Recht und verbessern die Da- 
tengrundgrundlagen. Dazu führen wir 
den Dialog mit Plattformanbietern, -ar- 
beitern, Selbständigen sowie Sozialpart- 
nern. Die Initiative der EU-Kommission 
zur Verbesserung der Arbeitsbedingun- 
gen auf Plattformen begleiten wir kons- 
truktiv. Bei der Gestaltung von Klin der 
Arbeitswelt setzen wir auf einen men- 
schenzentrierten Ansatz, soziale und 
wirtschaftliche Innovation ebenso wie 
Gemeinwohlorientierung. Wir unterstüt- 
zen den risikobasierten EU-Ansatz..... 
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(S. 82) Pflege: ... Wir bringen ein all- 
gemeines Heilberufegesetz auf den Weg 
und entwickeln das elektronische Ge- 
sundheitsberuferegister weiter. 

(S. 83) Digitalisierung im Gesund- 
heitswesen: In einer regelmäßig fortge- 
schriebenen Digitalisierungsstrategie 
im Gesundheitswesen und in der Pflege 
legen wir einen besonderen Fokus auf 
die Lösung von Versorgungsproblemen 
und die Perspektive der Nutzerinnen 
und Nutzer. In der Pflege werden wir 
die Digitalisierung u. a. zur Entlastung 
bei der Dokumentation, zur Förderung 
sozialer Teilhabe und für therapeuti- 
sche Anwendungen nutzen. Wir ermög- 
lichen regelhaft telemedizinische Leis- 
tungen inklusive Arznei-, Heil- und 
Hilfsmittelverordnungen sowie Video- 
sprechstunden, Telekonsile, Telemoni- 
toring und die telenotärztliche Versor- 
gung. Wir beschleunigen die Einfüh- 
rung der elektronischen Patientenakte 
(ePA) und des E-Rezeptes sowie deren 
nutzenbringende Anwendung und bin- 
den beschleunigt sämtliche Akteure an 
die Telematikinfrastruktur an. Alle Ver- 
sicherten bekommen DSGVO-konform 
eine ePA zur Verfügung gestellt; ihre 
Nutzung ist freiwillig (opt-out). Die ge- 
matik bauen wir zu einer digitalen Ge- 
sundheitsagentur aus. Zudem bringen 
wir ein Registergesetz und ein Gesund- 
heitsdatennutzungsgesetz zur besse- 
ren wissenschaftlichen Nutzung in Ein- 
klang mit der DSGVO auf den Weg und 
bauen eine dezentrale Forschungsda- 
teninfrastruktur auf. 

(S. 84) Wir überprüfen das SGB V 
und weitere Normen hinsichtlich durch 
technischen Fortschritt überholter Do- 
kumentationspflichten. Durch ein Bü- 
rokratieabbaupaket bauen wir Hürden 
für eine gute Versorgung der Patientin- 
nen und Patienten ab. Die Belastungen 
durch Bürokratie und Berichtspflichten 
jenseits gesetzlicher Regelungen wer- 
den kenntlich gemacht. Wir versteti- 
gen die Verfahrenserleichterungen, die 
sich in der Pandemie bewährt haben. 
Sprachmittlung auch mit Hilfe digitaler 
Anwendungen wird im Kontext notwen- 
diger medizinischer Behandlung Be- 
standteil des SGBV..... 

(S. 86) Rechte von Patientinnen und 
Patienten: Die Unabhängige Patienten- 
beratung (UPD) überführen wir in eine 
dauerhafte, staatsferne und unabhängi- 


ge Struktur unter Beteiligung der maß- 
geblichen Patientenorganisationen. .... 

(S. 89) Bauen und Wohnen, Digitali- 
sierung und Vereinfachung: Wir werden 
durch serielles Bauen, Digitalisierung, 
Entbürokratisierung und Standardisie- 
rung die Kosten für den Wohnungsbau 
senken. ... Wir werden die Bau- und 
Immobilienwirtschaft sowie alle Ebenen 
der Verwaltung unterstützen die Digi- 
talisierung zu meistern, Open-BIM und 
einheitliche Schnittstellen/Standards 
umzusetzen. Der Bundesbau ist Vor- 
bild bei der Digitalisierung und unseren 
bau-, wohnungs- und klimapolitischen 
Zielen. 

.. Wir werden die entsprechenden 
Regelungen im Baulandmobilisierungs- 
gesetz entfristen und die rechtlichen 
Grundlagen für eine vollständige Digi- 
talisierung der Bauleitplanverfahren 
schaffen. ... 

(S. 91) Schutz der Mieterinnen und 
Mieter: ... Wir werden qualifizierte 
Mietspiegel stärken, verbreitern und 
rechtssicher ausgestalten. Zur Berech- 
nung sollen die Mietverträge der letzten 
sieben Jahre herangezogen werden. Wir 
werden für mehr Transparenz bei den 
Nebenkostenabrechnungen sorgen. ... 

(S. 92) Städtebau: ... Wir entwickeln 
den Smart-City-Stufenplan weiter, stär- 
ken BIM Deutschland und richten ein 
Smart-City-Kompetenzzentrum ein. ... 

(S. 93) V. Chancen für Kinder, star- 
ke Familien und beste Bildung ein Le- 
ben lang: Wir wollen allen Menschen 
unabhängig von ihrer Herkunft beste 
Bildungschancen bieten, Teilhabe und 
Aufstieg ermöglichen und durch inklu- 
sive Bildung sichern. Dazu stärken wir 
die frühkindliche Bildung, legen den Di- 
gitalpakt 2.0 aufund machen das BAföG 
elternunabhängiger und bauen es für 
die Förderung der beruflichen Weiterbil- 
dung aus. ... 

(S. 96) Digitalpakt Schule: Wir wollen 
Länder und Kommunen dauerhaft bei 
der Digitalisierung des Bildungswesens 
unterstützen. Den Mittelabruf beim Di- 
gitalpakt Schule werden wir beschleu- 
nigen und entbürokratisieren. ... Dieser 
Digitalpakt wird auch die nachhaltige 
Neuanschaffung von Hardware, den 
Austausch veralteter Technik sowie die 
Gerätewartung und Administration um- 
fassen. ... Wir werden gemeinsam mit 
den Ländern digitale Programmstruktu- 
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ren und Plattformen für Open Educatio- 
nal Ressources (OER), die Entwicklung 
intelligenter, auch lizenzfreier Lehr- 
und Lernsoftware sowie die Erstellung 
von Positivlisten datenschutzkonfor- 
mer, digitaler Lehr- und Lernmittel un- 
terstützen. 

(S. 99) Kinder und Jugend: ... Wir 
werden Angebote der Jugendhilfe bei 
der Digitalisierung unterstützen. .... 

(S. 102) Familienrecht: ... Das Sa- 
menspenderregister wollen wir auch für 
bisherige Fälle, private Samenspenden 
und Embryonenspenden öffnen. ... 

(S. 103) VI. Freiheit und Sicherheit, 
Gleichstellung und Vielfalt in der mo- 
dernen Demokratie: Freiheit, Sicherheit 
und Rechtsstaatlichkeit sind die Grund- 
lagen für das friedliche Zusammenleben 
in Deutschland. Wir stellen uns allen 
verfassungsfeindlichen, gewaltbereiten 
Bestrebungen und Verschwörungsideo- 
logien entschieden entgegen. Leben 
in Freiheit braucht Sicherheit. Unsere 
Verantwortung ist die Sicherheit der 
Bürgerinnen und Bürger. Dafür die Si- 
cherheitsbehörden, den Bevölkerungs- 
schutz und die Justiz. Sicherheits- 
gesetze und deren Auswirkungen auf 
Bürgerrechte werden wir im Lichte der 
technischen Entwicklung einer unab- 
hängigen wissenschaftlichen Evaluati- 
on unterziehen. .... 

(S. 104) Bundespolizeien: ... Die in 
anderen Bereichen bewährte Sicher- 
heitsüberprüfung von Bewerberinnen 
und Bewerbern weiten wir aus und stär- 
ken so die Resilienz der Sicherheitsbe- 
hörden gegen demokratiefeindliche 
Einflüsse. ... Wir führen eine unabhän- 
gige Polizeibeauftragte bzw. einen un- 
abhängigen Polizeibeauftragten für die 
Polizeien des Bundes als Anlaufstelle 
beim Deutschen Bundestag mit Akten- 
einsichts- und Zutrittsrechten ein. Wir 
führen die pseudonyme Kennzeichnung 
von Polizistinnen und Polizisten ein. 

Sichere und leistungsfähige Daten- 
verarbeitung, kombiniert mit mobiler 
IT und klar geregelten Kompetenzen, 
sind Grundvoraussetzung moderner Po- 
lizeiarbeit. Wir entwickeln die Strategie 
Polizei 20/20 weiter. Wir unterziehen 
die umfangreiche Anzahl von Daten- 
banken einer grundlegenden Revision 
und präzisieren deren Verarbeitungsre- 
gelungen. Den Rechtsschutz sowie die 
Datenaufsicht durch den Bundesbeauf- 
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tragten für den Datenschutz und die 
Informationsfreiheit (BfDI) stärken wir 
deutlich. Wir öffnen die Polizei stärker 
für unabhängige Forschung. ... 

(S. 105) Zusammenarbeit von Polizei 
und Justiz: Wir intensivieren die grenz- 
überschreitende polizeiliche und justi- 
zielle Zusammenarbeit rechtsstaatlich, 
sichern dabei hohe Datenschutzstan- 
dards und verbessern den grenzüber- 
schreitenden Rechtsschutz. Wir streben 
die Weiterentwicklung von Europol zu 
einem Europäischen Kriminalamt mit 
eigenen operativen Möglichkeiten an. 
... Wir wollen mit den Ländern die Aus- 
sagekraft der Kriminal- und Strafrechts- 
pflegestatistiken nachhaltig verbes- 
sern. Wir verankern den periodischen 
Sicherheitsbericht gesetzlich. Wir ver- 
stetigen mit den Ländern den Pakt für 
den Rechtsstaat und erweitern ihn um 
einen Digitalpakt für die Justiz. ... 

(S. 106) Justiz: ... Wirbauen den kol- 
lektiven Rechtsschutz aus. Bestehende 
Instrumente wie z.B. nach dem Kapi- 
talanleger-Musterverfahrensgesetz mo- 
dernisieren wir und prüfen den Bedarf 
für weitere. Die EU-Verbandsklagericht- 
linie setzen wir anwenderfreundlich und 
in Fortentwicklung der Musterfeststel- 
lungsklage um und eröffnen auch klei- 
nen Unternehmen diese Klagemöglich- 
keiten. An den bewährten Anforderun- 
gen an klageberechtige Verbände halten 
wir fest. ... Gerichtsentscheidungen 
sollen grundsätzlich in anonymisierter 
Form in einer Datenbank öffentlich und 
maschinenlesbar verfügbar sein. ... 

(S. 107) Kampf gegen Extremismus: 
... Datenbanken in der EU wollen wir 
kompatibel ausgestalten, die Gefährder- 
Definitionen vereinheitlichen, deren 
Früherkennung forcieren und für eine 
koordinierte Überwachung sorgen. Wir 
verbessern die Erfassung der politisch 
motivierten Kriminalität, z.B. in Hin- 
blick auf frauen- und queerfeindliche 
Hasskriminalität. ... Wir verbessern die 
Möglichkeit von Auskunftssperren im 
Melderegister für Bedrohte. ... 

(S. 108) Kampf gegen Kindesmiss- 
brauch: Im Kampf gegen Kindesmiss- 
brauch stärken wir das Bundeskriminal- 
amt (BKA) personell und entlasten die 
Beschäftigten bei der Auswertung der 
beschlagnahmten Datenträger durch 
technische Lösungen - unter Sicher- 
stellung des Schutzes personenbezo- 


gener Daten der Opfer - und realisieren 
den tagesaktuellen Abgleich mit den 
Datenbanken. Die Informationsweiter- 
gabe zwischen den Ämtern und den am 
Hilfenetzwerk des Kindes beteiligten 
Akteurinnen und Akteuren muss ver- 
bessert und verbindlicher geregelt wer- 
den - unter Wahrung des Datenschutzes 
und Achtung der Vertrauensstellung der 
Jugendämter. ... 

Waffenrecht, Sicherheitsdienste: ... 
Wir evaluieren die Waffenrechtsände- 
rungen der vergangenen Jahre und ge- 
stalten bestehende Kontrollmöglichkei- 
ten gemeinsam mit den Schützen- und 
Jagdverbänden sowie mit den Ländern 
effektiver aus. Zudem verbessern wir 
die kriminalstatistische Erfassung von 
Straftaten mit Schusswaffen sowie den 
Informationsfluss zwischen den Behör- 
den. ... Private Sicherheitsdienste wer- 
den wir mit verbindlichen Standards in 
einem eigenen Gesetz regulieren. 

Freiheit und Sicherheit: ... Die Ein- 
griffe des Staates in die bürgerlichen 
Freiheitsrechte müssen stets gut be- 
gründet und in ihrer Gesamtwirkung 
betrachtet werden. Die Sicherheitsge- 
setze wollen wir auf ihre tatsächlichen 
und rechtlichen Auswirkungen sowie 
aufihre Effektivität hin evaluieren. Des- 
halb erstellen wir eine Überwachungs- 
gesamtrechnung und bis spätestens 
Ende 2023 eine unabhängige wissen- 
schaftliche Evaluation der Sicherheits- 
gesetze und ihrer Auswirkungen auf 
Freiheit und Demokratie im Lichte 
(S. 109) technischer Entwicklungen. 
Jede zukünftige Gesetzgebung muss 
diesen Grundsätzen genügen. Dafür 
schaffen wir ein unabhängiges Exper- 
tengremium  (Freiheitskommission), 
das bei zukünftigen Sicherheitsgesetz- 
gebungsvorhaben berät und Freiheits- 
einschränkungen evaluiert. 

Videoüberwachung kann die Präsenz 
einer bürgernahen Polizei nicht erset- 
zen, sie aber an Kriminalitätsschwer- 
punkten ergänzen. Flächendeckende 
Videoüberwachung und den Einsatz 
von biometrischer Erfassung zu Über- 
wachungszwecken lehnen wir ab. Das 
Recht auf Anonymität sowohl im öffent- 
lichen Raum als auch im Internet ist zu 
gewährleisten. 

Angesichts der gegenwärtigen recht- 
lichen Unsicherheit, des bevorstehen- 
den Urteils des Europäischen Gerichts- 
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hofs und der daraus resultierenden 
sicherheitspolitischen Herausforderun- 
gen werden wir die Regelungen zur Vor- 
ratsdatenspeicherung so ausgestalten, 
dass Daten rechtssicher anlassbezogen 
und durch richterlichen Beschluss ge- 
speichert werden können. 

Mit der Login-Falle wollen wir grund- 
rechtsschonende und freiheitsorien- 
tierte Instrumente schaffen, um die 
Identifizierung der Täterinnen und Tä- 
ter zu erreichen. 

Die Ausnutzung von Schwachstellen 
von IT-Systemen steht in einem hoch- 
problematischen Spannungsverhältnis 
zur IT-Sicherheit und den Bürgerrech- 
ten. Der Staat wird daher keine Sicher- 
heitslücken ankaufen oder offenhalten, 
sondern sich in einem Schwachstellen- 
management unter Federführung ei- 
nes unabhängigeren Bundesamtes für 
Sicherheit in der Informationstechnik 
immer um die schnellstmögliche Schlie- 
ßung bemühen. 

Für den Einsatz von Überwachungs- 
software, auch kommerzieller, setzen 
wir die Eingriffsschwellen hoch und 
passen das geltende Recht so an, dass 
der Einsatz nur nach den Vorgaben des 
Bundesverfassungsgerichtes für die 
Online-Durchsuchung zulässig ist. Die 
Befugnis des Verfassungsschutzes zum 
Einsatz von Überwachungssoftware 
wird im Rahmen der Überwachungsge- 
samtrechnung überprüft. Das Bundes- 
polizeigesetz novellieren wir ohne die 
Befugnis zur Quellen-TKÜ und Online- 
Durchsuchung. Solange der Schutz des 
Kernbereichs privater Lebensgestal- 
tung nicht sichergestellt ist, muss ihr 
Einsatz unterbleiben. Transparenz und 
effektive Kontrolle durch Aufsichts- 
behörden und Parlament werden wir 
sicherstellen. 

Wir schaffen für die Zentrale Stelle für 
Informationstechnik im Sicherheitsbe- 
reich (ZiTis) und in enger Abstimmung 
mit den Ländern für die gemeinsamen 
Zentren (GTAZ etc.) gesetzliche Grund- 
lagen, legen ($. 110) die Verantwort- 
lichkeiten klarer fest und garantieren 
die lückenlose Kontrolle durch Parla- 
mente und Datenschutzaufsichtsbehör- 
den. Zum Schutz der Informations- und 
Meinungsfreiheit lehnen wir verpflich- 
tende Uploadfilter ab. 

Nachrichtendienste sind ein wich- 
tiger Teil der wehrhaften Demokratie. 
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Wir achten das verfassungsrechtliche 
Trennungsgebot von Polizei und Nach- 
richtendiensten. Wir stärken und bauen 
die Kontrolle, insbesondere die parla- 
mentarische, aller nachrichtendienst- 
lichen Tätigkeiten des Bundes weiter 
aus. Das Sicherheitsrecht des Bundes, 
einschließlich der Übermittlungsvor- 
schriften reformieren wir umfassend. 
Hilfsorgane der Parlamentarischen Kon- 
trolle stärken wir. Die Wahrnehmung 
der Rechte Betroffener verbessern wir. 
Kontrolllücken schließen wir. Die Arbeit 
der Dienste wird durch eine fundierte 
wissenschaftliche Analyse gestärkt und 
differenziert. Wir schaffen eine unab- 
hängige Kontrollinstanz für Streitfragen 
bei VS-Einstufungen und verkürzen die 
archivrechtlichen Schutzfristen auf ma- 
ximal 30 Jahre. 

Wir regeln Voraussetzungen für den 
Einsatz von V-Personen, Gewährsperso- 
nen und sonstigen Informantinnen und 
Informanten aller Sicherheitsbehörden 
gesetzlich und machen sie unter Wah- 
rung der notwendigen Anonymität par- 
lamentarisch überprüfbar. Wir prüfen, 
ob die Nachrichtendienste bei der Nach- 
verfolgung von Transaktionen zur Terro- 
rismusfinanzierung über ausreichende 
Möglichkeiten verfügen. ... 

(S. 111) Unternehmensrecht: ... Wir 
setzen die EU-Whistleblower-Richtlinie 
rechtssicher und praktikabel um. Whist- 
leblowerinnen und Whistleblower müs- 
sen nicht nur bei der Meldung von Ver- 
stößen gegen EU-Recht vor rechtlichen 
Nachteilen geschützt sein, sondern 
auch von erheblichen Verstößen gegen 
Vorschriften oder sonstigem erhebli- 
chen Fehlverhalten, dessen Aufdeckung 
im besonderen Öffentlichen Interesse 
liegt. ... Wir erleichtern die Gründung 
von Gesellschaften, indem wir die Di- 
gitalisierung des Gesellschaftsrechts 
vorantreiben und Beurkundungen per 
Videokommunikation auch bei Grün- 
dungen mit Sacheinlage ($. 112) und 
weiteren Beschlüssen erlauben. Wir er- 
möglichen dauerhaft Online-Hauptver- 
sammlungen und wahren dabei die Ak- 
tionärsrechte uneingeschränkt. Wir un- 
tersuchen weitere Vorkehrungen gegen 
den Missbrauch von Kostenerstattun- 
gen für Abmahnungen nach dem Gesetz 
gegen Unlauteren Wettbewerb (UWG). 
Wir erweitern den Rechtsrahmen für 
Legal Tech-Unternehmen, legen für sie 


klare Qualitäts- und Transparenzanfor- 
derungen fest und stärken die Rechts- 
anwaltschaft, indem wir das Verbot von 
Erfolgshonoraren modifizieren und das 
Fremdbesitzverbot prüfen. 

Schutz der Verbraucherinnen und 
Verbraucher: Wir gewährleisten hohe 
Verbraucherschutzstandards. Dazu ge- 
hören eine umfassende Verbraucherbil- 
dung, mehrsprachige Aufklärung und 
der situationsgerechte Zugang zu Infor- 
mationen. ... 

(S. 114) Gleichstellung: ... Wir wer- 
den den Gender Data Gap schließen, 
z.B. im medizinischen Bereich. ... 

Schutz vor Gewalt: ... Die Istanbul- 
Konvention setzen wir auch im digi- 
talen Raum und mit einer staatlichen 
Koordinierungsstelle vorbehaltlos und 
(S. 115) wirksam um. ... 

Ökonomische Gleichstellung: ... Wir 
wollen die Lohnlücke zwischen Frauen 
und Männern schließen. Deshalb wer- 
den wir das Entgelttransparenzgesetz 
weiterentwickeln und die Durchsetzung 
stärken, indem wir Arbeitnehmerinnen 
und Arbeitnehmern ermöglichen, ihre 
individuellen Rechte durch Verbände 
im Wege der Prozessstandschaft geltend 
machen zu lassen. ... 

(S. 120) Rassismus bekämpfen: ... Wir 
stärken die Arbeit gegen Hass im Netz 
und Verschwörungsideologien. .... 

(S. 121) Antidiskriminierung: ... Das 
Allgemeine Gleichbehandlungsgesetz 
(AGG) werden wir evaluieren, Schutzlü- 
cken schließen, den Rechtsschutz ver- 
bessern und den Anwendungsbereich 
ausweiten. .... 

(S. 122) Kulturförderung: ... Wir för- 
dern den Aufbau eines Datenraums Kul- 
tur, der sparten- und länderübergrei- 
fend Zugang zu Kultur ermöglicht. .... 

(S. 123) ... Wir wollen den Games- 
Standort stärken und die Förderung 
verstetigen. .... 

Rechtliche Rahmenbedingungen: 
Beim Urheberrecht setzen wir uns für 
fairen Interessenausgleich ein und wol- 
len die Vergütungssituation für kreative 
und journalistische Inhalte verbessern, 
auch in digitalen Märkten. ... 

(S. 124) Medien: ... Auf europäischer 
Ebene setzen wir uns dafür ein, dass 
Digital Service Act (DSA) und Digital 
Markets Act (DMA) sowie Media Free- 
dom Act auch Pluralismus und Vielfalt 
abbilden sowie eine staatsferne Medien- 
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aufsicht und Regulierung gewährleis- 
ten. Wir werden die Machbarkeit einer 
technologieoffenen, barrierefreien und 
europaweiten Medienplattform prüfen. 
... Die Herausforderungen der digitalen 
Transformation der Medienlandschaft 
wollen wir durch faire Regulierung der 
Plattformen und Intermediäre beglei- 
ten, um kommunikative Chancengleich- 
heit sicherzustellen. Wir schaffen eine 
gesetzliche Grundlage für den Aus- 
kunftsanspruch der Presse gegenüber 
Bundesbehörden. Wir bekämpfen Hass- 
rede und Desinformation. ... 

Wir werden die Bundesstiftung Auf- 
arbeitung stärken. Wir werden die fest- 
geschriebenen Standorte der Außen- 
stellen des Stasi-Unterlagen-Archivs 
qualitativ entwickeln. Die begleitende 
Forschungs- und Bildungsarbeit wird 
unterstützt. Wir unterstützen die Ein- 
richtung des Archivzentrums SED-Dik- 
tatur und die Weiterentwicklung der 
ehemaligen Stasi-Zentrale in Berlin zum 
Campus für Demokratie. ... 

(S. 128) Gute Lebensverhältnisse in 
Stadt und Land: ... Alle Bundesförder- 
programme werden regelmäßig evalu- 
iert und auf ihre räumliche Wirkung mit 
einheitlichen Datenstandards überprüft. 
... Wir wollen die Chancen der Digitalisie- 
rung für Stadt und Land besser erschlie- 
ßen. Der Bund schafft die Vorausset- 
zungen, dass das 0ZG in den Kommunen 
erfolgreich und praktikabel umgesetzt 
werden kann. Das Bundesprogramm 
Smart Cities wird fortgeschrieben und 
erweitert aufSmart Regions, dabeisolles 
agiler gestaltet und mit städtebaulichen 
Fragen verknüpft werden. ... 

(S. 132) Zukunft der Europäischen 
Union: ... Die strategische Souveräni- 
tät Europas wollen wir erhöhen. Dies 
bedeutet in erster Linie eigene Hand- 
lungsfähigkeit im globalen Kontext 
herzustellen und in wichtigen strate- 
gischen Bereichen, wie Energieversor- 
gung, Gesundheit, Rohstoffimporte und 
digitale Technologie, weniger abhängig 
und verwundbar zu sein, ohne Europa 
abzuschotten. ... 

(S. 134) Krisenfestes Europa: ... Um 
die EU-Gesundheitsbehörden krisenfest 
zu machen, statten wir diese mit den 
erforderlichen Kompetenzen und Res- 
sourcen aus. Die Potenziale des Europä- 
ischen Gesundheitsdatenraumes sollen 
bei Wahrung (S. 135) von Datenschutz 
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und Patientensouveränität erschlossen 
und der Kampf gegen Antibiotikaresis- 
tenz verstärkt werden. 

(S. 137) Europäische Freizügigkeit: 
... Wir brauchen einen Digitalisierungs- 
schub zum Abbau von Bürokratie, zur 
einfachen Handhabung von Freizü- 
gigkeit, schnelleren Geltendmachung 
bestehender Ansprüche sowie zur Er- 
leichterung des Kampfs gegen Betrug 
und Missbrauch. Daher unterstützen wir 
einen neuen Anlauf zur Einführung ei- 
ner Europäischen Sozialversicherungs- 
nummer, auch um die Geltendmachung 
bestehender Portabilitätsansprüche zu 
erleichtern. ... 

(S. 138) Aufenthalts- und Bleibe- 
recht: ... Wir werden die Klärung der 
Identität einer Ausländerin oder eines 
Ausländers um die Möglichkeit, eine 
Versicherung an Eides statt abzugeben, 
erweitern und werden hierzu eine ge- 
setzliche Regelung im Ausländerrecht 
schaffen. ... 

(S. 142) Europäische und internati- 
onale Flüchtlingspolitik: ... Wir werden 
humanitäre Visa für gefährdete Perso- 
nen ermöglichen und dazu digitale Ver- 
gabeverfahren einführen. ... 

(S. 143) ... Die strategische Souverä- 
nität Europas wollen wir erhöhen. Ziel 
ist eine multilaterale Kooperation in der 
Welt, insbesondere in enger Verbindung 
mit denjenigen Staaten, die unsere de- 
mokratischen Werte teilen. Dabei geht 
es auch um den Systemwettbewerb mit 
autoritär regierten Staaten und eine 
strategische Solidarität mit unseren de- 
mokratischen Partnern. Die Menschen- 
rechte als wichtigster Schutzschild der 
Würde des Einzelnen bilden dabei unse- 
ren Kompass. 

(S. 144) Multilateralismus: 
Deutschland betreibt eine aktive di- 
gitale Außenpolitik für ein globales, 
offenes Internet und eine konsistente 
EU-Digitalpolitik über Ressortgrenzen 
hinweg. Wir stärken unseren Einsatz 
in internationalen Gremien, Normen- 
und Standardisierungsprozessen sowie 
Multi-Stakeholder-Foren (z.B. IGF). Den 
Einsatz der globalen Zivilgesellschaft für 
digitale Bürgerrechte unterstützen wir. 
Wir wollen ein Völkerrecht des Netzes. 
In der Entwicklungszusammenarbeit ar- 
beiten wir mit unseren Partnern am Auf- 
bau ihrer unabhängigen digitalen Inf- 
rastruktur zur Stärkung ihrer digitalen 


Souveränität, auch auf EU-Ebene. Wir 
verfolgen im digitalen Raum eine Poli- 
tik der Abrüstung. Dazu gehören auch 
ein Stopp der Weitergabe von Über- 
wachungstechnologien an repressive 
Regime sowie der Schutz ziviler Infra- 
struktur vor Cyberangriffen. 

(S. 147) Menschenrechte: ... Wir wol- 
len den Schutz der Menschenrechte im 
digitalen Zeitalter stärken und hierfür die 
Internetfreiheit und digitale Menschen- 
rechte zu außenpolitischen Schwerpunk- 
ten machen. Die Initiative zum Recht auf 
Privatheit unterstützen wir. ... 

(S. 149) Verteidigung und Bundes- 
wehr: ... Den neuen Bedrohungen im 
Cyberspace wollen wir durch eine ehr- 
geizige Cybersicherheitspolitik ent- 
gegentreten. Die Bundeswehr muss 
zudem in die Lage versetzt werden, im 
Verbund mit anderen Bundesbehörden 
im Cyber- und Informationsraum als Ak- 
teur erfolgreich zu bestehen. Die parla- 
mentarische Kontrolle über den Einsatz 
von Cyber-Fähigkeiten der Bundeswehr 
muss gewährleistet sein. ... 

(S. 150) Alle Angehörigen der Bun- 
deswehr müssen unzweifelhaft auf dem 
Boden der freiheitlich demokratischen 
Grundordnung stehen. ... 

(S. 158) VIII. Zukunftsinvestitionen 
und nachhaltige Finanzen: Die 2020er 
Jahre wollen wir zu einem Jahrzehnt der 
Zukunftsinvestitionen, insbesondere in 
Klimaschutz, Digitalisierung, Bildung 
und Forschung sowie die Infrastruktur, 
machen. Wir verfolgen dazu eine Poli- 
tik, die die Investitionen - privat, wie 
öffentlich - deutlich erhöht. .... 

(S. 159) Zukunftsinvestitionen: Wir 
wollen mehr privates Kapital für Trans- 
formationsprojekte aktivieren. ... Um 
eine Erhöhung des Finanzierungsvolu- 
mens insbesondere für die Klima- und 
Digitalisierungstransformation der 
Wirtschaft und von Privathaushalten 
zu erreichen, werden wir das bewährte 
Förderinstrumentarium bedarfsgerecht 
und nach Maßgabe der Zielgenauigkeit 
und Fördereffizienz skalieren und aus- 
weiten. ... 

(S. 166) Vollzug, Vereinfachung 
und Digitalisierung: Das strategische 
Vorgehen gegen Steuerhinterziehung, 
Finanzmarktkriminalität und Geldwä- 
sche werden wir im Bundesfinanzminis- 
terium organisatorisch und personell 
stärken, und dabei auch Zoll, Bundes- 
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zentralamt für Steuern (BZSt), Bun- 
desanstalt für Finanzdienstleistungen 
(BaFin) und die Financial Intelligence 
Unit (FIU) stärken. Durch digitale Ver- 
fahren soll die Erfüllung der steuerli- 
chen Pflichten für die Bürgerinnen und 
Bürger erleichtert werden, wie zum 
Beispiel durch vorausgefüllte Steuer- 
erklärungen (Easy Tax). Wir werden 
daher die Digitalisierung des Besteu- 
erungsverfahrens konsequent weiter 
vorantreiben und dafür sorgen, dass 
steuerliche Regelungen grundsätzlich 
auch digital umsetzbar sind. Unser Ziel 
ist es, das die gesamte Interaktion zwi- 
schen Steuerpflichtigen und Finanz- 
verwaltung digital möglich ist. 

Im Bereich der Unternehmensbe- 
steuerung ist es uns ein Anliegen, die 
Steuerprüfung zu modernisieren und 
zu beschleunigen. Dafür setzen wir uns 
insbesondere für verbesserte Schnitt- 
stellen, Standardisierung und den sinn- 
vollen Einsatz neuer Technologien ein. 
Zur Sicherung der Anschlussfähigkeit 
der Steuerverwaltung an den digitalen 
Wandel und für eine spürbare Verrin- 
gerung der Steuerbürokratie wird eine 
zentrale Organisationseinheit auf Bun- 
desebene eingerichtet. ... 

(S. 167) Wir werden weiterhin den 
Umsatzsteuerbetrug bekämpfen. Die- 
ser Weg soll in Zusammenarbeit mit 
den Ländern intensiviert werden. Wir 
werden schnellstmöglich ein elektro- 
nisches Meldesystem bundesweit ein- 
heitlich einführen, das für die Erstel- 
lung, Prüfung und Weiterleitung von 
Rechnungen verwendet wird. So sen- 
ken wir die Betrugsanfälligkeit unseres 
Mehrwertsteuersystems erheblich und 
modernisieren und entbürokratisieren 
gleichzeitig die Schnittstelle zwischen 
der Verwaltung und den Betrieben. .... 

(S. 170) Finanzieller Verbraucher- 
schutz und Altersvorsorge: ... Wir wer- 
den umgehend prüfen, wie die Transpa- 
renz beim Kredit-Scoring zugunsten der 
Betroffenen erhöht werden kann. Hand- 
lungsempfehlungen werden wir zeitnah 
umsetzen. ... 

(S. 171) Geldwäsche: ... Für die lau- 
fende Bewertung und Verbesserung der 
Effektivität der Geldwäschebekämpfung 
in Deutschland soll die notwendige In- 
formations- und Erkenntnisgrundlage 
aufgebaut werden. Die Geldwäsche-Mel- 
dungen aus dem Nicht-Finanzbereich, 
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wie z.B. dem Immobiliensektor, wollen 
wir erleichtern und im Vollzug deutlich 
erhöhen. ... Die EU-Aufsichtsbehörde 
soll sich nicht nur um den klassischen 
Finanzsektor kümmern, sondern auch 
den Missbrauch von Kryptowerten für 
Geldwäsche und Terrorismusfinanzie- 
rung verhindern. ... 

Die FIU muss die notwendigen rechts- 
staatlich abgesicherten Befugnisse 
bekommen sowie den Zugang zu allen 
nötigen Informationen. Wir werden 
Verbindungsbeamte aus den Landes- 
kriminalämtern in der FIU einsetzen. 
Wir wollen den risikobasierten Ansatz 
weiter verbessern. Ferner wollen wir die 
Qualität der Meldungen verbessern, in- 
dem die Verpflichteten verstärkt Rück- 
meldung bekommen. ... 

(S. 172) Wir werden die Qualität der 
Daten im Transparenzregister verbes- 
sern, sodass die wirtschaftlich Berechtig- 
ten in allen vorgeschriebenen Fällen tat- 
sächlich ausgewiesen werden. Wir wollen 
die digitale Verknüpfung mit anderen 
in Deutschland bestehenden Registern. 
Wir werden das Datenbankgrundbuch 
mit dem Transparenzregister verknüp- 
fen, um die Verschleierung der wahren 
Eigentümer von Immobilien zu beenden. 
Verknüpfung und Nutzung werden wir 
datenschutzkonform gestalten. ... 

Digitale Finanzdienstleistungen und 
Währungen: Für FinTechs, InsurTechs, 
Plattformen, NeoBroker und alle weite- 
ren Ideengeber soll Deutschland einer 
der führenden Standorte innerhalb Eu- 
ropas werden. Es gilt, die mit den neuen 
Technologien, wie z.B. Blockchain, ver- 
bundenen Chancen zu nutzen, Risiken 
zu identifizieren und einen angemes- 


senen regulatorischen Rahmen schaf- 
fen. Wir werden deshalb für effektive 
und zügige Genehmigungsverfahren für 
FinTechs sorgen. Digitale Finanzdienst- 
leistungen sollten ohne Medienbrüche 
funktionieren; dafür werden wir den 
Rechtsrahmen schaffen und die Mög- 
lichkeit zur Emission elektronischer 
Wertpapiere auch auf Aktien ausweiten. 
Den Prozess zur Einführung eines digi- 
talen Euro als Ergänzung zum Bargeld, 
der als gesetzliches Zahlungsmittel in 
Europa für alle zugänglich und allge- 
mein einsetzbar ist, wollen wir konst- 
ruktiv begleiten. Europa braucht zudem 
eine eigenständige Zahlungsverkehrs- 
infrastruktur und offene Schnittstellen 
für einen barrierefreien Zugang zu di- 
gitalen Finanzdienstleistungen für alle 
Verbraucherinnen und Verbraucher so- 
wie Händler. 

Wir brauchen eine neue Dynamik 
gegenüber den Chancen und Risiken 
aus neuen Finanzinnovationen, Kryp- 
toassets und Geschäftsmodellen. Wir 
setzen uns für ein Level-Playing-Field 
mit gleichen Wettbewerbsbedingungen 
innerhalb der EU, zwischen traditionel- 
len und innovativen Geschäftsmodellen 
und gegenüber großen Digitalunter- 
nehmen ein. Das europäische Finanz- 
marktaufsichtsrecht machen wir fit für 
die Digitalisierung und für komplexe 
Konzernstrukturen, um eine ganzheit- 
liche und risikoadäquate Aufsicht über 
neue Geschäftsmodelle sicherzustellen. 
Wir brauchen für den Kryptobereich 
eine gemeinsame europäische Aufsicht. 
Wir verpflichten Kryptoassetdienstleis- 
ter zur konsequenten Identifikation der 
wirtschaftlich Berechtigten. 


Bild: iStock | Todor Dinchev 
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Bund 


Login-Falle statt 
Klarnamenpflicht 


Von diversen Innen- und Sicherheits- 
politikern wird immer wieder die Klarna- 
menpflicht bei der Internetnutzung, ins- 
besondere bei Social Media eingefordert: 
Jede und Jeder soll online unter dem 
echten Namen kommunizieren müssen, 
statt sich hinter einem Pseudonym ver- 
stecken zu können. Wie sonst solle man 
im Kampf gegen Hass und Hetze in sozia- 
len Medien die Identität von beleidigen- 
den, pöbelnden oder drohenden Nutzern 
feststellen? Der Bundesgerichtshof ver- 
handelt derzeit darüber, ob Facebook be- 
rechtigt ist die Accounts von Usern ohne 
echten Namen zu sperren. 

Netzaktivisten kämpfen gegen diese 
Idee. Henning Tillmann, Co-Vorsitzen- 
der des Digitalpolitik-Thinktanks D64, 
meint, die Klarnamenpflicht „würde die 
Voraussetzungen für freie Meinungsäu- 
ßerung einschränken, übrigens nicht 
nur für Dissidenten und Whistleblower, 
sondern für uns alle. Es muss die Mög- 
lichkeit geben anonym aufzutreten.” 
Eine Klarnamenpflicht komme ähnlich 
wie die anlasslose Vorratsdatenspeiche- 
rung einem Pauschalverdacht gleich, 
weil sie alle beträfe - und nicht nur 
die, die potenziell strafrechtlich Rele- 
vantes schreiben. Das Gleiche gelte für 
die „Identifizierungspflicht“, mit der 
Nutzer zwar nicht unter ihrem echten 
Namen posten, ihn aber bei den Platt- 
formen hinterlegen müssen. Solch eine 
„Riesensammlung persönlicher Daten 
bei privaten Konzernen” mache diese zu 
attraktiven Angriffszielen. 

D64 hat deshalb eine Alternative er- 
sonnen, die es auf Seite 109 des Am- 
pel-Koalitionsvertrags geschafft hat: 
die „Login-Falle“. Mit ihrer Hilfe sollen 
Nutzer Beiträge direkt bei der Polizei 
anzeigen können. Diese müsste dann 
prüfen, ob ein Anfangsverdacht auf eine 
Straftat besteht, und nötigenfalls ver- 
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anlassen, dass der Plattformbetreiber 
die Login-Falle scharf stellt: Logt sich 
der Verfasser dann erneut mit seinem 
Account ein oder zeichnet die App im 
Hintergrund weiter Daten auf, wird die 
IP-Adresse abgefangen. Mit der kann 
die Polizei vom Telekommunikationsan- 
bieter die Identität erfragen. 

Eine solche Login-Falle würde laut 
Tillmann Datenschutzbedenken ausräu- 
men und nebenbei die heikle Entschei- 
dung, ob ein Beitrag gesetzeswidrig ist 
oder nicht, von den Plattformbetreibern 
zum Staat verlagern. Derzeit verpflich- 
tet das Netzwerkdurchsetzungsgesetz 
(NetzDG) Facebook, Youtube und die 
anderen Plattformen dazu selbst zu 
kontrollieren, ob Beiträge womöglich 
rechtswidrig und zu löschen sind. Damit 
werde die Durchsetzung des Rechts pri- 
vatisiert, kritisieren Netzaktivisten. 

Laut D64 braucht es für die Login- 
Falle zwischen den Plattformen und den 
Strafverfolgungsbehörden standardi- 
sierte Schnittstellen für eine schnelle 
und sichere Übermittlung. Technisch ist 
das, so D64, machbar. Die Social-Media- 
Betreiber müssen sowieso von Februar 
2021 an mutmaßlich Illegales in schwe- 
ren Fällen ans Bundeskriminalamt wei- 
terleiten. Bekannt ist auch, dass sie 
alles andere als glücklich sind über den 
Kontrollaufwand, den das NetzDG ihnen 
aufbürdet. Die großen Anbieter, etwa 
Meta, der neue Facebook-, WhatsApp- 
und Instagram-Mutterkonzern, oder 
Google, wozu Youtube gehört, äußerten 
sich bisher nicht zu den Chancen, den 
Risiken und zur technischen Umsetz- 
barkeit einer Login-Falle. 

Die Telekom bestätigte, dass für Tele- 
kommunikationsunternehmen, die mit- 
hilfe der IP-Adresse Namen und Adresse 
herausgeben müssten, ihr Part der „Fal- 
le” recht unkompliziert umsetzbar ist: 
Schon jetzt gibt es ein standardisiertes 
Vorgehen, wenn Strafverfolgungsbehör- 
den auf richterlichen Beschluss einen 
Anschlussteilnehmer ermitteln und da- 
für eine IP-Adresse überprüfen wollen. 


Rechtlich wie technisch müsste ge- 
klärt werden, ob die „Falle“ auch bei 
Messenger-Diensten wie Telegram, die 
ja gerade besonders unter Beobach- 
tung stehen als Sammelplattform für 
Radikale aller Art, angewendet werden 
kann. Theoretisch könnten sich Nutzer 
diverser Plattformen entziehen, indem 
sie ihre IP-Adressen etwa mit Hilfe eines 
VPN-Zugangs verschlüsseln oder Weg- 
werf-Accounts nutzen, die sienach dem 
Posten löschen. Das täten allerdings die 
wenigsten Online-Hetzer, sagt Henning 
Tillmann. Und selbst diese wenigen 
machten irgendwann Fehler: „Einen 
großen Teil würde man erwischen.” 

Im Sommer 2021 hatten sich die In- 
nenminister der Länder zur Lösung des 
Hetzproblems für eine Identifizierungs- 
pflicht ausgesprochen. Zugleich beton- 
te aber Niedersachsens Innenminister 
Boris Pistorius (SPD), die Login-Falle 
könne das überflüssig machen. Der Vi- 
ze-Fraktionsvorsitzende der Grünen im 
Bundestag, Konstantin von Notz, er- 
klärte, die Ampelkoalition lehne eine 
generelle Identifizierung ab. Dagegen 
könnte die Login-Falle „eine grund- 
rechtschonende Identifizierung der 
potenziellen Täterinnen und Täter er- 
möglichen”. Die Koalition will hierfür 
ein „Gesetz gegen digitale Gewalt” auf- 
legen, das Opfern mehr Auskunftsrechte 
eröffnet. Außerdem sollen Richter Ac- 
count-Sperren anordnen dürfen. Gemäß 
von Notz kann die Login-Falle jedenfalls 
im Kampf gegen Hass und Hetze einer 
von vielen Bausteinen sein (Koopmann, 
Login in die Falle, SZ 14.12.2021, 5). 


Bund 


Debatte über Impfregister 
nimmt Fahrt auf 


Ein zentrales Diskussionsthema des 
noch jungen Pandemiejahres 2022 ist 
die Einführung einer generellen Impf- 
pflicht. Sollte diese kommen, stellt sich 
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gleich die Folgefrage, wie diese kontrol- 
liert und durchgesetzt wird. 


- Für ein Register 


Der Deutsche Ethikrat hat kurz vor 
Weihnachten 2021 empfohlen, ein na- 
tionales Impfregister einzuführen. Es 
wäre praktisch die einzige Möglichkeit 
flächendeckend und umfänglich zu 
überprüfen, ob eine Impfpflicht einge- 
halten wird oder nicht, glauben auch 
viele in Medizin und in Bürokratie kun- 
dige Menschen. Eventuell könnte sich 
sogar ein Impfregister als ein milderes 
Mittel zu einer Impfpflicht erweisen, 
wenn hierüber die Impfquote erkennbar 
erhöht und die Bevölkerung überzeugt 
werden kann. Über ein Impfregister 
ließen sich einfach die relevanten Da- 
ten speichern und abrufen: Impfstoff, 
Impfdaten und Chargennummern. Der 
Impfstand könnte erfasst und ausge- 
wertet werden. Die Menschen könnten 
automatisch an die nächsten Impfun- 
gen erinnert werden. 

Bundestagspräsidentin Bärbel Bas 
(SPD) meinte, eine Impfpflicht ergebe 
nur mit einem nationalen Impfregister 
Sinn. Nur so ließen sich Fälschungen 
vermeiden - und Menschen könnten ge- 
zielt für einen Impftermin angeschrie- 
ben werden. Der Parlamentarische 
Geschäftsführer der Unionsfraktion, 
Thorsten Frei (CDU), hielt ein Impfregis- 
ter deshalb gar für „zwingend notwen- 
dig“. Der Bundesbeauftragte für den 
Datenschutz, Ulrich Kelber, nannte die 
Einführung eines Impfregisters zumin- 
dest grundsätzlich machbar: „Daten- 
schutzrechtlich unmöglich ist ein na- 
tionales Impfregister nicht.” Es müsste 
allerdings klar begründet werden, wa- 
rum man es brauche; die Legitimation 
falle leichter, wenn es nicht nur um 
Kontrolle des Einzelnen ginge. Ein „gut 
ausgeführtes Gesundheitsregister” sei 
denkbar, schnell zu haben sei es sicher 
nicht. Der Bundesverband mittelständi- 
sche Wirtschaft ist dafür. 


- Bedenken 


Bundesgesundheitsminister Karl Lau- 
terbach (SPD) ist gegen ein Register. Er 
meint, man könne eine Impfpflicht auch 
ohne Verzeichnis „monitorieren”: „Ich 
warne davor ein Impfregister zu nutzen. 
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Der Aufbau eines Impfregisters dauert 
lange und ist auch datenschutzrecht- 
lich nicht unumstritten.” Lauterbach 
strebt eine baldige Einführung einer 
allgemeinen Impfpflicht an. Der SPD- 
Politiker meinte jedoch, er wolle dabei 
ohne „neue Meldestrukturen” aus- 
kommen. Zugleich arbeitet das Robert 
Koch-Institut im Auftrag des Bundes- 
gesundheitsministeriums an Plänen für 
ein Impfregister zu wissenschaftlichen 
Zwecken, um etwa einen guten Über- 
blick über Nebenwirkungen zu haben. 
Lauterbachs Vorgänger, Jens Spahn 
(CDU), erklärte schon im Mai 2021, es 
sei ja richtig den Datenschutz ernst zu 
nehmen, aber der Vorschlag, ein Impf- 
register einzuführen, sei deshalb leider, 
leider auf Entrüstung gestoßen. 

Baden-Württembergs Datenschutz- 
beauftragter Stefan Brink warnte vor 
einem zu großen Zugriff des Staates auf 
Gesundheitsdaten und der Einführung 
eines nationalen Impfregisters: „Vorsicht 
bei nationalen Registern und Finger weg 
von der Zweckentfremdung von Daten”. 
Rechtlich hält Brink die bundesgesetz- 
liche Einführung eines Registers bei der 
Zuspitzung der Pandemie und in Folge 
einer allgemeinen Impfpflicht zwar po- 
tenziell für denkbar. Er riet aber davon 
ab: Bereits jetzt gingen viele Menschen 
aufdie Straße und hätten das Gefühl, der 
Staat würde sie gängeln: „Das Vertrauen 
in unseren Staat könnte bei übereilten 
Schritten weiter sinken. Den Impfstatus 
ohne Zustimmung der Betroffenen zent- 
ral erfassen und auf dieser Basis womög- 
lich Bußgelder verhängen zu wollen, ist 
eine Vollzugsfantasie, die einen negati- 
ven Effekt auf die Impfkampagne haben 
kann.” Die Verwaltung müsste bei einem 
nicht auf Freiwilligkeit beruhenden Re- 
gister die vorhandenen Impfdaten erst 
mal mühsam zusammensuchen, etwa 
bei den kassenärztlichen Vereinigungen 
oder bei den Impfzentren. 

Brink meinte, dass ein nationales 
Impfregister nur seinen Zweck erfüllen 
könne, wenn zugleich die Melderegister 
zentralisiert oder zumindest zentral ab- 
geglichen würden. Solch ein Schritt sei 
aus historischen Gründen in Deutsch- 
land skeptisch zu sehen. Darüber hinaus 
würde eine Zentralisierung der regional 
sehr unterschiedlichen Meldedaten die 
Verwaltungen erst recht vor große Her- 
ausforderungen stellen und dauere nach 


vorsichtiger Schätzung mindestens ein 
Jahr. Er empfahl daher, die Einhaltung 
einer möglichen allgemeinen Impfpflicht 
stattdessen durch stichprobenhafte Kon- 
trollen sicherzustellen: „Das wäre daten- 
schutzkonform machbar.” 


- Umsetzungsprobleme 


Es würde zweifellos einige Zeit dau- 
ern, bis ein eigenes System zur Erfas- 
sung der Daten aufgesetzt und angriffs- 
wie absturzsicher gestaltet ist. Zudem 
müssten für einen vollständigen Über- 
blick die Daten aller impfpflichtigen 
Bürger aus den auf Landes- respektive 
Kommunalebene geführten Melderegis- 
tern zusammengetragen werden. Die 
Digitalisierungsfachleute im Bundes- 
gesundheitsministerium (BMG) gehen 
davon aus, dass es mindestens ein Jahr 
dauern würde, ein Impfregister an den 
Start zu bringen. 

Die deutsche Digitalisierungserfah- 
rung zeigt, dass das sogar optimistisch 
geschätzt sein kann. 2016 etwa be- 
schloss der Bundestag, dass ein Regis- 
ter für Organspender und -empfänger 
kommen soll. Mehr als fünf Jahre spä- 
ter gibt es das Transplantationsregister 
immer noch nicht. Andererseits hat es 
Österreich geschafft, seit Beginn der 
Pandemie ein Corona-Impfregister auf- 
zubauen; die gesetzliche Grundlage da- 
für gibt es seit 2012. Nun wird es dazu 
dienen die ab Februar 2022 geltende 
Immunisierungspflicht zu überprüfen. 

Justizminister Marco Buschmann 
(FDP) hat den Datenschutz als Argu- 
ment gegen ein Register aufgeführt. Er 
sei eben zurückhaltend bei Verzeichnis- 
sen mit Daten über die gesamte Bevölke- 
rung. Fachleute sind nicht so pessimis- 
tisch (siehe die DVD-Presseerklärung 
hier im Heft, S. 15). 


- Ausgestaltung ist völlig unklar 


Dänemark, Finnland, Schweden oder 
die Niederlande haben schon Impfregis- 
ter eingeführt, bevor es Covid-19 und 
Impfpflichtdiskussionen gab. Für Öster- 
reich, Dänemark und Schweden gilt die 
gleiche Datenschutz-Grundverordnung 
wie für Deutschland. Forscher können 
dort auf die Registerdaten zugreifen 
und dadurch sehen, welche Bevölke- 
rungsgruppen besser geimpft sind und 
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welche schlechter. Ein Punkt, der eng 
damit zusammenhängt, so Heike Baeh- 
rens, gesundheitspolitische Sprecherin 
der SPD-Bundestagsfraktion: „Unsere 
bisherigen Informationskampagnen 
sind sehr breit angelegt. Wir brauchen 
mehr individuelle Ansprache, Aufklä- 
rung und zielgruppenangepasste Bera- 
tungsangebote.” Das würde ein Impf- 
register „erheblich vereinfachen“. Man 
könnte zum Beispiel allen Nichtgeimpf- 
ten einen Brief mit Aufklärung und Ter- 
minvorschlägen schicken. 

Das sieht auch Virologe Thomas Mer- 
tens, Chef der Ständigen Impfkommis- 
sion (Stiko), so: „Ein zentrales Impfre- 
gister hätte aus meiner Sicht Vorteile.” 
Damit ermögliche man ein unkompli- 
ziertes Impfquotenmonitoring, zu- 
dem ließe sich die Schutzwirkung von 
Impfungen besser erfassen: „Man kann 
seltene Nebenwirkungen rascher identi- 
fizieren.” 

In Dänemark ist eine elektronische 
Patientenakte mit dem Impfverzeichnis 
verknüpft. So können Forschende prü- 
fen, ob bestimmte Beschwerden vieler 
Patienten unmittelbar nach einer Imp- 
fung aufgetreten sind. In Deutschland 
erhält das für Arzneimittelsicherheit 
zuständige Paul-Ehrlich-Institut zwar 
auch Impfdaten, etwa bei Masern; aller- 
dings melden die Krankenkassen diese 
Daten in der Regel nur halbjährlich, was 
für die Corona-Bekämpfung zu langsam 
ist. Stiko-Chef Mertens erkennt zwar die 
Bedenken wegen des Aufwands und des 
Datenschutzes an, doch er sagt, es kom- 
me eben von Anfang an auf ein „gutes 
Konzept“ an. Trotzdem werden die bis- 
her angekündigten Bundestags-Grup- 
penanträge für eine Impfpflicht wohl 
kein Register vorsehen. 

Unklar bleibt so, wie eine Impfpflicht 
überprüft werden kann. Justizminis- 
ter Buschmann hält stichprobenartige 
Kontrollen für das Wahrscheinlichste. 
Gerd Landsberg, Hauptgeschäftsführer 
des Deutschen Städte- und Gemein- 
debunds, hält davon nicht viel. Die 
kommunalen Ordnungsämter könnten 
schon helfen, aber sie arbeiteten schon 
jetzt „an der Belastungsgrenze”. Vor- 
aussichtlich würde auch die Ausferti- 
gung der Bußgeldbescheide auch bei 
Städten und Gemeinden hängen blei- 
ben. Den Vorschlag von FDP-Politiker 
Konstantin Kuhle, dass die Einwoh- 
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nermeldeämter allen Bürgerinnen und 
Bürgern eine Impfeinladung schicken 
könnten, unabhängig vom Impfstatus 
(den kennt ja keiner), lehnt Landsberg 
ab. Die Kommunen könnten keine wei- 
teren Aufgaben, etwa die Versendung 
von 83 Millionen Briefen, übernehmen. 
Es gebe „wirksame Instrumente zur ein- 
facheren Handhabung: Dazu zählt ohne 
Frage ein nationales Impfregister.” 

SPD-Gesundheitspolitikerin Baehrens 
fordert, dass man sich wenigstens eine 
Alternative zur Erfassung des Impfsta- 
tus überlege, wenn am Ende wirklich 
kein Impfregister kommt. Dies müsse 
„möglichst niedrigschwellig digital und 
eher dezentral” sein. Beispielsweise an- 
onymisiert über die Corona-Warn-App. 
Nicht vorrangig, um die Einhaltung 
einer Impfpflicht zu kontrollieren, son- 
dern, um bisher ungeimpfte Menschen 
zielgenau ansprechen zu können (Ko- 
opmann, Ein Register muss her, Mehr 
als Kontrolle, SZ 22./23.01.2022, 4, 
7;  Berner/Gupta/Feldenkirchen/Gar- 
be u.a., Koalition der Wackligen, Der 
Spiegel Nr. 3 v. 15.01.2022, 14; Preker, 
Datenschutzbeauftragter warnt vor zu 
großem Staatszugriff, www.spiegel.de 
06.01.2021). 


Bund 


eID auf dem Smartphone 
ist jetzt möglich 


Die Bundesnetzagentur (BNetzA) hat 
eine Mitteilung in ihrem Amtsblatt ver- 
öffentlicht, dass eine Personenidenti- 
fizierung mit einem mobilen Endgerät, 
bei der ein qualifiziertes Sicherheits- 
zertifikat auf Basis der mit dem Perso- 
nalausweis verknüpften elektronischen 
Identität (eID) zum Einsatz kommt, ab 
sofort prinzipiell rechtlich abgesichert 
auch bei staatlichen Diensten durch- 
führbar ist. Der Bundestag hatte bereits 
im Mai 2021 ein Gesetz beschlossen, wo- 
nach die Bundesbürger den offiziellen 
Online-Ausweis direkt in ihrem Smart- 
phone oder Tablet speichern können. 
Voraussetzung dafür ist, dass sie eines 
der wenigen technisch dafür bereits 
geeigneten Mobilgeräte besitzen. Ein 
Smartphone benötigt für das Verfahren 
eine eingebettete Sicherheitsarchi- 
tektur auf hohem Niveau. Momentan 


leisten dies auf Basis des staatlich ge- 
förderten Projekt Optimos 2.0 vor allem 
Samsung-Geräte der Reihe Galaxy S20. 

Die Regulierungsbehörde hat das 
eID-Verfahren als „innovative Identifi- 
zierungsmethode” im Einklang mit dem 
schon 2017 verabschiedeten Gesetz zur 
Umsetzung der eIDAS-Verordnung der 
EU anerkannt. Dieser Schritt erfolgte 
laut der BNetzA „im Einvernehmen” mit 
dem Bundesamt für Sicherheit in der In- 
formationstechnik (BSI). Der Bundes- 
datenschutzbeauftragte Ulrich Kelber 
sei dazu angehört worden. Die Verfü- 
gung ist zunächst bis zum 21.12.2023 
befristet. Verlängert hat die Behör- 
de zugleich Verfügungen zur Online- 
Identifizierung per Videoübertragung 
(Video-Ident). 

Das Onlinezugangsgesetz (0ZG) ver- 
pflichtet Bund und Länder, ihre Verwal- 
tungsleistungen auch elektronisch über 
Verwaltungsportale anzubieten. Ge- 
mäß der BNetzA ist die Identifizierung 
von Antragstellern dabei ein wichtiges 
Element. Durch Änderungen im Perso- 
nalausweisgesetz, im eID-Karte-Gesetz 
und im Aufenthaltsgesetz sei der Ansatz 
mit einem mobilen Endgerät grundsätz- 
lich zulässig. Dies gelte nun auch für 
„qualifizierte Vertrauensdienste“. 

Bisher wird der elektronische Identi- 
tätsnachweis durch zwei Faktoren ge- 
währleistet: Das Wissen der sechsstel- 
ligen Geheimnummer und den Besitz 
von Personalausweis, eID-Karte oder 
elektronischem Aufenthaltstitel. Mit 
der Gesetzesreform ist das Smartpho- 
ne samt der staatlichen AusweisApp2 
als „Besitzelement” dazugekommen. 
Die Daten für den Ausweisvorgang sind 
demnach in einem sicheren Verfahren 
aus dem Speicher- und Verarbeitungs- 
element des Endgeräts zu transferieren. 

Das Bundeswirtschaftsministerium 
fördert zudem bis zu vier große IT-Pro- 
jekte im „Schaufenster Sichere Digitale 
Identitäten“, um die Möglichkeiten ei- 
ner digitalen Ausweisfunktion auf Mo- 
biltelefonen neuerer Generationen zu 
demonstrieren. Weitere Varianten sind 
in Planung, verzögern sich aber wie im 
Fall der im September 2021 gestoppten 
„ID Wallet“. Probleme gibt es auch beim 
parallel von der Bundesregierung ver- 
folgten Projekt „Smart eID” (s.u.). Die 
Bundesdruckerei verweist darauf, dass 
die nötigen Sicherheitselemente wie 
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ein integriertes „Secure Element” oder 
die eSIM-Karte prinzipiell „keine Ein- 
schränkung von Smartphones” vornäh- 
men. Die Technologie sei grundsätzlich 
breit anwendbar, Gerätehersteller und 
Mobilfunkanbieter müssten aber die 
Nutzung ermöglichen. Der BNetzA zu- 
folge steht Verbrauchern generell „ein 
Bündel an komfortablen Identifizie- 
rungsmöglichkeiten zur Verfügung, aus 
denen je nach Zielgruppe und Anwen- 
dung gewählt werden kann“ (Krempl, 
Identitätsnachweis: Online-Ausweisen 
mit dem Handy jetzt offiziell möglich, 
www.heise.de 22.12.2021, Kurzlink: 
https://heise.de/-6305750). 


Bund 


Projekte „ID-Wallet” 
und „Smart-E-ID” sind 
gefährdet 


Die alte Bundesregierung wollte Füh- 
rerschein und Personalausweis aufs 
Smartphone bringen, doch sind die Pres- 
tigeprojekte „ID Wallet” und „Smart-E- 
ID“ in Gefahr. Noch drei Tage vor der Bun- 
destagswahl im September 2021 stellte 
der damalige Noch-Verkehrsminister An- 
dreas Scheuer als echtes „Zukunftspro- 
jekt“ den Führerschein fürs Smartphone 
vor. Doch die App, auf der man ihn hätte 
speichern sollen, verschwand kaum eine 
Woche später wieder aus den App-Stores 
wegen Sicherheitsmängeln und Über- 
lastung. Auch der Personalausweis fürs 
Smartphone hätte längst da sein sollen. 
Mit den beiden Prestigevorhaben wollte 
die Groko auf ihren letzten Metern zei- 
gen, dass es endlich vorangeht mit der 
Digitalisierung in Verwaltung und Bür- 
geralltag. Doch die Projekte sind - viel- 
leicht rettungslos - festgefahren. 

Der Führerschein fürs Handy war im 
Rahmen des Pilotprojekts für das „ID 
Wallet“ vorgesehen, einer elektroni- 
schen Brieftasche, in der Nutzer veri- 
fizierte Identitätsnachweise speichern 
können. Die Daten sollten fälschungssi- 
cher in einer Blockchain-Datenbank la- 
gern. Erprobt wurde das ID Wallet in drei 
Hotelketten beim papierlosen Check-in. 
Nach außen kommunizierten die Ver- 
antwortlichen, dass alles funktioniert. 

Das Bundesamt für Sicherheit in der 
Informationstechnik (BSI) kam dagegen 
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in einem Bericht, der erst Monate später 
publik wurde, zu dem Ergebnis, dass die 
Blockchain-Technologie eine „grund- 
sätzliche Anfälligkeit für Sicherheitslü- 
cken des gesamten Systems” birgt, und 
das „bei unklarem Nutzen”. Zudem sei 
die App „nicht für einen über den Pilo- 
ten hinausgehenden Betrieb geeignet”. 
Doch das verantwortliche Bundeskanz- 
leramt machte weiter und holte das Ver- 
kehrsministerium dazu. Ende September 
2021 ging das ID Wallet online. 

Bald darauf kritisierte die IT-Sicher- 
heitsexpertin Lilith Wittmann, dass Kri- 
minelle leicht an die sehr sensiblen Nut- 
zerdaten hätten gelangen können. Dazu 
kam die Überlastung der App-Server 
durch hohe Nutzerzahlen - offiziell der 
Hauptgrund, weshalb die App so schnell 
wieder offline ging. Wittmann: „Es wirk- 
te, als wollte die alte Regierung auf Teu- 
fel komm raus noch schnell irgendwas 
Digitales machen, hat das aber nicht 
wirklich durchdacht.” Direkt nach dem 
Reinfall hieß es noch, die App sei „in we- 
nigen Wochen” wieder verfügbar. Anfang 
2022 teilte ein Regierungssprecher mit, 
man arbeite mit beteiligten IT-Unterneh- 
men „unter Hochdruck“ an Lösungen. 
Ein konkreter Zeitplan hin zu einem Re- 
launch „im Jahr 2022” stehe wegen des 
Regierungswechsels aber noch aus. 

Anke Domscheit-Berg, die netzpoli- 
tische Sprecherin der Linken-Bundes- 
tagsfraktion, erklärte dazu: „Die Ampel- 
Koalition wäre gut beraten das Projekt 
in seiner bisherigen Form zu beerdi- 
gen“. Der Bedarf nach sicherer Identi- 
fizierung via Smartphone sei dringend. 
Doch hält sie die beiden Projekte der al- 
ten Koalition, also auch den Smartpho- 
ne-Personalausweis, für einen „Schuss 
in den Ofen”. 

Bei der sogenannten Smart-E-ID für 
den Personalausweis scheint jedoch 
mehr Vorsicht zu walten. Das BSI ver- 
langt für die Speicherung einen spezi- 
ellen Sicherheitschip, der bislang nur 
in Smartphones der Galaxy-S20-Reihe 
vom Projektpartner Samsung steckt. 
Zwar läuft die „AusweisApp2” auf den 
Geräten, aber nutzbar ist der Ausweis 
noch nicht. Dabei sollte das schon 2020 
möglich sein; später verschob Samsung 
den Start auf Herbst 2021. Jetztteilt das 
zuständige Bundesinnenministerium 
auf Anfrage mit, es seien „umfangrei- 
che Tests und Abnahmen notwendig”, 


man strebe einen „zeitnahen Startter- 
min“ an, den Samsung-Handys sollten 
„schnell“ weitere Geräte folgen. Die Am- 
pel-Koalition kann zwar einerseits die 
Verantwortung auf die Vorgängerregie- 
rung abwälzen, doch hat sie sich die Di- 
gitalisierung prominent aufihre Fahnen 
geschrieben. Maximilian Funke-Kaiser, 
digitalpolitischer Sprecher der FDP im 
Bundestag, wünscht sich, dass beide 
Projekte noch realisiert werden: „Durch 
rein digitale Dokumente können Dienst- 
leistungen und Vorgänge automatisiert 
werden. Das wäre ein enormer Schritt 
nach vorne für unsere Gesellschaft.” 

Der Hauptgeschäftsführer des Digital- 
verbands Bitkom, Bernhard Rohleder, 
kritisierte, Deutschland verliere hier 
wertvolle Zeit. Man solle sich ein Bei- 
spiel an Dänemark nehmen, wo neun 
von zehn Bürgern digitale Identitäts- 
nachweise nutzten. Auch der Deutsche 
Städte- und Gemeindebund hält es im 
Zuge der Verwaltungsdigitalisierung für 
zwingend nötig, dass sich Bürgerinnen 
und Bürger digital ausweisen können. 

IT-Expertin Wittmann verweist der- 
weil auf einen Service, den es schon 
seit Jahren gibt: die Online-Funktion 
des herkömmlichen Personalauswei- 
ses. Nur haben die laut E-Government- 
Monitor 2021 bloß 9% der Befragten je 
genutzt. Wittmann sagt, es gebe kaum 
Anreize für Unternehmen damit die 
Identität ihrer Kunden zu prüfen: „Die 
Bundesregierung sollte lieber darin in- 
vestieren die bestehende Funktion at- 
traktiver und flexibler zu gestalten statt 
Geld in Technologien zu pumpen, die 
eigentlich überflüssig wären.” Die Idee 
des ID Wallets klingt zwar praktisch, 
aber selbst wenn man irgendwann sei- 
nen Führerschein in die elektronische 
Brieftasche hochladen kann, muss man 
bei Polizeikontrollen nach geltender 
Rechtslage noch den alten Lappen oder 
die Plastikkarte vorzeigen (Koopmann, 
SZ 08./09.01.2022, 7). 


Bund 


Start eines auszubauenden 
Lobbyregisters 


Nach jahrelangen kontroversen Dis- 


kussionen ging am 01.01.2022 das 
neue Lobbyregister für mehr Transpa- 
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renz im politischen Entscheidungspro- 
zess an den Start. SPD und Grüne im 
Bundestag verwiesen derweil auf ent- 
sprechende Vereinbarungen im Koaliti- 
onsvertrag, wonach dieses schon bald 
nachgeschärft werden soll. So erklärte 
die Grünen-Fraktionsvorsitzende Britta 
Haßelmann: „Mit dem parlamentari- 
schen Verfahren sollten wir möglichst 
bald beginnen.” Der Vizevorsitzende der 
SPD-Fraktion, Dirk Wiese, sekundierte, 
man wolle dies „gemeinsam zeitnah auf 
den Weg bringen”. Auch die Organisati- 
on Transparency International mahnte 
Nachbesserungen an. 

Das öffentlich einsehbare Lobbyregis- 
ter soll sichtbar machen, wer Einfluss 
auf politische Entscheidungen und die 
Gesetzgebung nimmt. Professionelle In- 
teressenvertreter sind nun verpflichtet 
sich dort bis spätestens 01.03.2022 ein- 
zutragen. Siemüssen Angaben unter an- 
derem über ihre Auftraggeber und zum 
personellen und finanziellen Aufwand 
ihrer Lobbytätigkeit bei Bundestag und 
Bundesregierung machen. Zu erläutern 
sind auch der Interessenbereich und die 
Tätigkeit. Treffen in Ministerien sollen 
bis zur Ebene von Unterabteilungslei- 
tern erfasst werden. 

Lobbyisten werden zudem verpflich- 
tet sich an einen Verhaltenskodex 
zu halten. So soll ihre Tätigkeit „auf 
der Basis von Offenheit, Transparenz, 
Ehrlichkeit und Integrität” erfolgen. 
Informationen dürfen niemals auf un- 
lautere Art und Weise - insbesondere 
durch finanzielle Anreize - beschafft 
werden. Unzulässig sind auch Verein- 
barungen, durch die eine Vergütung 
oder deren Höhe vom Erfolg der Inte- 
ressenvertretung abhängig gemacht 
wird. Lobbyisten, die sich nicht an die 
Regeln halten, droht ein Bußgeld von 
bis zu 50.000 Euro. 

Bundestagspräsidentin Bärbel Bas 
(SPD): „Ich bin stolz auf den Start- 
schuss. Künftig kann jeder im Lobby- 
register nachlesen, welche Interes- 
senvertreter in welchen Politikfeldern 
unterwegs sind, wer ihre Auftraggeber 
sind und wie viel Geld dafür ausgegeben 
wird.” Auch Bas meinte, ein Nachschär- 
fen der Regeln könnte nötig werden. 
Solche Nachbesserungen fordert die Or- 
ganisation Transparency International. 
Sie verlangt insbesondere die Einfüh- 
rung eines „legislativen Fußabdrucks“, 
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also einen Hinweis in allen neuen Geset- 
zen, welche Interessenvertreter darauf 
Einfluss genommen haben. Zwar habe 
die Ampel-Koalition vereinbart diesen 
nachträglich einzuführen, sagte der 
Vorsitzende von Transparency Deutsch- 
land, Hartmut Bäumer: „Aber da kommt 
es darauf an, wie es aussieht. Das wer- 
den wir uns genau angucken.” „Völlig 
unverständlich” seien die Ausnahmen 
für Kirchen, Gewerkschaften und Kom- 
munalverbände. 

Für eine Fehlkonstruktion hält es 
Transparency, dass das Register dem je- 
weiligen Bundestagspräsidenten oder 
der -präsidentin unterstellt ist, so Bäu- 
mer: „Es muss eine neutrale Instanz ge- 
ben wie beim Datenschutzbeauftragten, 
die nicht weisungsabhängig ist“. Dort 
solle das Register geführt und die Ein- 
haltung der Regeln kontrolliert werden. 
„Es muss eine Institution sein, die auch 
ein bisschen Biss hat.” 

Grünen-Fraktionschefin Haßelmann 
begrüßte den Start des Lobbyregis- 
ters. Die große Koalition habe auf ho- 
hen Druck der Öffentlichkeit und der 
Opposition hin erste Schritte für mehr 
Transparenz gemacht, die jedoch nicht 
weit genug gingen. „Jetzt haben Grüne, 
SPD und FDP vereinbart das Lobbyre- 
gister nachzuschärfen und so für mehr 
Transparenz zu sorgen.” Neben der Ein- 
führung des „Fußabdrucks” sei geplant 
den Kreis der registrierten Interessens- 
vertreterinnen und -vertreter zu erwei- 
tern und die Schwelle für anzugebende 
Kontakte in den Ministerien bis auf die 
Referentenebene zu senken. 

Das Lobbyregister wird digital beim 
Bundestag geführt. Dort rechnet man 
mit einer Größenordnung von 6.000 
bis 8.000 Interessenvertretern, die sich 
anmelden werden. Zum Vergleich: Die 
bisherige öffentliche Liste der beim 
Bundestag registrierten Verbände, die 
mit dem neuen Register obsolet wird, 
enthält gerade einmal 2.238 Einträge. 
Die DVD hat sich im neuen Lobbyregis- 
ter angemeldet. Ihr Eintrag ist zu fin- 
den unter https://www.lobbyregister. 
bundestag.de/suche/R000173/ (Stein- 
kohl, Lobbyregister geht an den Start: 
rasche Nachschärfung geplant, www. 
heise.de 30.12.2021, Kurzlink: https:// 
heise.de/-6315112; Lobbyregister star- 
tet, SZ 31.12.2021-02.01.2022, 8, vgl. 
DANA 2/2021, 110£.). 


Bund 


Pränataler Gentest als Kas- 
senleistung 


Der vorgeburtliche genetische Test 
auf die Trisomien 13, 18 und 21 kann 
ab Frühjahr 2022 auf Kosten der Ge- 
setzlichen Krankenversicherung in 
Anspruch genommen werden. Der Ge- 
meinsame Bundesausschuss (G-BA) 
bereitete dafür auf seiner Sitzung am 
19.08.2021 den Weg, indem die Ver- 
sicherteninformationen zum Nicht- 
invasiven Pränataltest (NIPT) sowie 
dem Leben mit einem Kind mit Triso- 
mie verabschiedet wurden. Damit tritt 
auch der Beschluss der Kassenfinan- 
zierung vom September 2019 in Kraft. 
Zur rechtsaufsichtlichen Prüfung wur- 
de die Versicherteninformation dem 
Bundesministerium für Gesundheit 
vorgelegt und nicht beanstandet (GiD 
Nr. 259 November 2021, 28). 


Bundesweit 


Corona-Gästedaten für 
strafrechtliche Ermittlun- 
gen genutzt 


Eine bundesweite Umfrage des ZDF 
unter allen deutschen Staatsanwalt- 
schaften und Landesdatenschutz- 
beauftragten ergab, dass Polizeien 
und Staatsanwaltschaften häufig auf 
personenbezogene Daten zur Corona- 
Kontaktnachverfolgung zugegriffen 
haben. Seit Einführung des Erfas- 
sungssystems in Gastronomie, Frei- 
zeiteinrichtungen und Geschäften im 
Frühsommer 2020 sollen Strafverfol- 
gungsbehörden in mehr als 100 Fällen 
Informationen wie Namen, Anschrif- 
ten, Telefonnummern und E-Mail- 
Adressen aus Papier-Kontaktlisten 
sowie zumindest in einem Fall aus der 
Luca-App erhoben haben. Betroffen 
von den umstrittenen Aktionen waren 
demnach mindestens 500 Personen. 
Der Sender geht von einer hohen Dun- 
kelziffer aus: Derartige Datenabfragen 
würden bei den Staatsanwaltschaften 
nicht gesondert erfasst, so dass die 
Zahlen vor allem auf der Erinnerung 
der Beamten beruhten. Zudem habe 
die Polizei Informationen teils ohne 


DANA ® Datenschutz Nachrichten 1/2022 


Wissen der Staatsanwaltschaften er- 
hoben. 

In mindestens fünf Fällen sind dem 
Bericht zufolge die Daten abgefragt 
worden, obwohl das Infektionsschutz- 
gesetz des Bundes (IfSG) dies zu diesem 
Zeitpunkt bereits untersagte. & 28a IfSG 
verbietet eine Nutzung der Informatio- 
nen „zu anderen Zwecken als der Kon- 
taktnachverfolgung“. Ob diese Formu- 
lierung ohne jede Ausnahme auch für 
die Aufklärung schwerster Straftaten 
wie Mord gilt, ist rechtlich umstritten. 
Der bayerische Datenschutzbeauftrag- 
te Thomas Petri hält die Informationen 
grundsätzlich für tabu. 

Ein bekannter Fall war der Zugriff der 
Mainzer Polizei auf Luca-Daten über ei- 
nen Trick des Gesundheitsamts bei Er- 
mittlungen zu einem Sturz mit Todes- 
folge in der Altstadt der Landeshaupt- 
stadt (s.u. S. 38). Laut ZDF fragten 
unter dem überarbeiteten IfSG auch 
Strafverfolgungsbehörden in Mosbach, 
Koblenz, Stuttgart und Oldenburg Kon- 
taktdaten ab, die in diesen Fällen nicht 
über Luca erfasst wurden. Sie ermittel- 
ten dabei unter anderem wegen eines 
Tötungsdelikts sowie des Verdachts des 
sexuellen Kindesmissbrauchs. 

Bevor es die Luca-App und vergleich- 
bare Systeme gab, hatte die Polizei in 
mehreren Bundesländern ebenfalls be- 
reits auf personenbezogene Daten aus 
Corona-Gästelisten von Restaurants, 
Caf&s und Hotels zugegriffen. Baye- 
rische Ordnungshüter gingen damit 
sogar gegen Kleinkriminalität vor. Da- 
mals hatte die Rechtslage noch mehr 
Interpretationsspielraum gelassen 
(DANA 4/2020, 247, 3/2020, 187 f.). 
Ein Sprecher des Bundesdatenschutz- 
beauftragten Ulrich Kelber empfahl 
besser auf die Check-in-Funktion der 
Corona-Warn-App (CWA) zu setzen. 
Damit stehe eine Lösung bereit, „bei 
der aufgrund des dezentralen Ansatzes 
eine unerlaubte Datenabfrage nicht 
möglich ist”. Die Anwendung des Ro- 
bert-Koch-Instituts sei bisher aber nur 
in wenigen Bundesländern gesetzlich 
zur Kontakterfassung als Alternative 
erlaubt. Auch der Bundestag empfiehlt 
zu diesem Zweck die CWA (Krempl, 
Luca und Listen: Polizei hat in über 
100 Fällen Kontaktdaten abgefragt, 
www.heise.de 21.01.2021, Kurzlink: 
https://heise.de/-6335124). 
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Bundesweit 


Initiative „Datenschutz 
geht zur Schule” - Bundes- 
weiter Kreativwettbewerb 
an Schulen 


Bis Ende April 2022 schreibt die Ini- 
tiative des Bundesverbands der Daten- 
schutzbeauftragten Deutschlands (BvD) 
bundesweit einen Wettbewerb für Schü- 
lerinnen und Schüler aus. „Datenschutz 
geht zur Schule“ (DSgzS) möchte mit 
dem Wettbewerb den Datenschutz, der 
für die junge Generation „eher uncool” 
zu sein scheint, beleben. Ob Sprüche, 
Icons oder andere Ideen: Was von der 
Jury (Morpheus, Shary Reeves, Steven 
Gätjen und TotallyGamerGirl) prämiert 
wird, soll veröffentlicht und als Aufkle- 
ber in großer Auflage als Give-aways 
produziert werden. Der Sprecher der 
Initiative betont, es gehe „um Aufmerk- 
samkeit für das wichtige Thema Daten- 
schutz, das Rüsten der jungen Generati- 
on mit Medienkompetenz und für Lehr- 
kräfte um einen spielerischen Einstieg 
in ein topaktuelles Themengebiet”. Die 
Initiative DSgzS wurde im letzten Jahr 
im DANA-Schwerpunktheft „Bildung“ 
2/2021, 85 ff. ausführlich vorgestellt 
(www.bvdnet.de/kreativpreis). 


Bundesweit 


Gesetze zur Ernennung von 
Datenschutzbeauftragten 
verstoßen gegen DSGVO 


Ein aktuelles Gutachten des Netzwerks 
Datenschutzexpertise zur Bestellung 
öffentlicher Datenschutzbeauftragter 
kommt zu dem Ergebnis, dass der Aus- 
wahlprozess der Landesbeauftragten und 
der Bundesbeauftragten für Datenschutz 
noch immer weitgehend gegen die Vor- 
gaben der europäischen Datenschutz- 
grundverordnung (DSGVO) verstößt. 
Ende 2021 waren zwei Leitungen von 
Aufsichtsbehörden seit Monaten unbe- 
setzt. 2022 stehen in sechs Bundeslän- 
dern Wieder- bzw. Neubesetzungen an. 

Das vom Datenschutzexperten Thilo 
Weichert erstellte Gutachten stellt her- 
aus, dass die Auswahl der Leitungsposi- 
tion der Datenschutzaufsichtsbehörden 


hinsichtlich ihrer „grundrechtlichen, 
rechtsstaatlichen und demokratischen” 
Bedeutung sehr wichtig ist: „Mit ihrer 
Unabhängigkeit sollen sie angesichts 
der besonderen grundrechtlichen Risi- 
ken einen frühzeitigen, effektiven, vor- 
gezogenen Rechtsschutz gewähren.” 

Gemäß dem Gutachten stimmen Qua- 
lifikationskriterien und Auswahlprozes- 
sein der Praxisin vielen Ländern und im 
Bund nicht mit den Vorgaben der DSGVO 
überein, die seit 2018 umgesetzt sein 
müssten. Artikel 53 DSGVO verlangt, 
dass die Behördenleiter über „erfor- 
derliche Qualifikation, Erfahrung und 
Sachkunde insbesondere im Bereich des 
Schutzes personenbezogener Daten ver- 
fügen” müssen. In Hamburg beispiels- 
weise trat in diesem Jahr ein Spezialist 
für Medienrecht die Nachfolge von Jo- 
hannes Caspar an. Die jüngst von ihrem 
Amt zurückgetretene Berliner Daten- 
schutzbeauftragte Maja Smoltczyk hatte 
vor ihrem Amtsantritt nur marginal mit 
Datenschutz zu tun, ebenso die viel kri- 
tisierte ehemalige Bundesdatenschutz- 
beauftragte Andrea Voßhoff. 

Die Auswahl der Kandidaten muss ge- 
mäß dieser Regelung in einem „transpa- 
renten Verfahren” erfolgen: „Die Kräfte, 
die auf die Bestellung der Mitglieder 
Einfluss nehmen, müssen so ausbalan- 
ciert werden, dass keine einseitige Ein- 
flussnahme stattfindet”, so das Gutach- 
ten. Es müsse „verhindert werden, dass 
Personen in das wichtige öffentliche 
Amt gelangen, ohne dass es zuvor eine 
öffentliche Debatte gibt, bei der die ge- 
forderte Balance erzielt werden kann.” 
Das ist offenkundig nicht der Fall, wenn 
die Regierungen Verwaltungsjuristen, 
die etwa im Innenministerium arbeite- 
ten, für die Leitung der unabhängigen 
Datenschutzaufsichtsbehörden vor- 
schlagen. 

Angesichts der einheitlichen Vorga- 
ben der DSGVO sei es „verwunderlich“, 
wie unterschiedlich der Auswahlpro- 
zess und die Amtsdauer in Deutschland 
geregelt sind. Die gesetzlich vorgese- 
henen Amtszeiten reichen von fünf bis 
acht Jahre. Die Wiederwahl ist etwa in 
Baden-Württemberg zweimal möglich, 
in vielen Bundesländern nur einmal. 
In Bayern oder Hessen gibt es keinerlei 
Beschränkungen. Eine Ausschreibungs- 
pflicht gibt es nur in Sachsen-Anhalt - 
doch in der Praxis wurde sie noch nicht 
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umgesetzt: 2017 hätte der Landtag 
einen Nachfolger von Harald von Bose 
wählen müssen. Per Gesetz endete sei- 
ne Amtszeit Ende 2020. Seither ist die 
Stelle unbesetzt. Auch in Berlin ist sie 
unbesetzt. In NRW war die Stelle vom 
Sommer 2020 bis Frühjahr 2021 ohne 
Besetzung. 

Das Vorschlagsrecht steht in vier 
Bundesländer sowie dem Bund der Re- 
gierung zu, ansonsten erfolgen die 
Vorschläge aus dem Parlament bezie- 
hungsweise den Regierungsfraktionen. 
Gewählt wird dann durchgängig in den 
Parlamenten - mit Ausnahme des Prä- 
sidenten des Bayerischen Landesamts 
für Datenschutzaufsicht, der von der 
Staatsregierung benannt wird. Eine 
Aussprache über die Kandidaten ist in 
sechs Parlamenten ausdrücklich aus- 
geschlossen. In den weiteren elf Parla- 
menten wurde von der Möglichkeitnoch 
nie Gebrauch gemacht. 

Die Ernennungsverfahren hält das 
Gutachten in Summe für „defizitär”, da 
die Transparenz des Verfahrens kaum 
oder gar nicht gewährleistet sei. Au- 
ßerdem wird darin kritisiert, dass die 
Wiederbesetzung offener Stellen immer 
wieder verzögert wird. Das Gutachten 
erinnert daran, dass vor 2018 immer 
wieder „sachfremde Erwägungen“ bei 
der Besetzung der Stellen ausschlagge- 
bend waren: Parteibuch und Ämterpat- 
ronage seien wichtiger gewesen als die 
fachliche Qualifikation. Seither seien 
„offensichtlich unqualifizierte” Ernen- 
nungen nicht mehr zu beobachten. In 
Schleswig-Holstein gab es 2020 sogar 
erstmals den Versuch gegen die Ernen- 
nung gerichtlich vorzugehen, da keine 
Ausschreibung erfolgt war. Das hatte 
jedoch vor dem Verwaltungsgericht 
Schleswig keinen Erfolg. 

Als Fazit stellt das Gutachten fest, 
dass die Transparenz idealerweise über 
eine Ausschreibung hergestellt werden 
könne, die gesetzlich festgeschrieben 
werden sollte. Da die Qualität der Lei- 
tung durch den Auswahlprozess „stark 
bestimmt“ werde, sei die Etablierung 
„professioneller Abläufe notwendig“: 
Die „weithin verbreitete politische Pra- 
xis des Ausklüngelns in Hinterzimmern” 
müsse beendet werden. 

Die Datenschutzkonferenz von Bund 
und Ländern hat sich bislang zu der 
Problematik nicht geäußert. Der Jurist 
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Malte Engeler, der in einem intrans- 
parenten Auswahlprozess in Hamburg 
scheiterte, meint: „Derzeit starten die 
neu ernannten Amtsleitungen aber mit 
einer völlig unnötigen und vermeid- 
baren Hypothek auf ihre Glaubwürdig- 
keit.” Der baden-württembergische Da- 
tenschutzbeauftragte Stefan Brink, der 
2022 zur Wiederwahl ansteht, sieht in 
einer Ausschreibung einen Vorteil für 
den Amtsinhaber: „Nur wer aus einem 
transparenten und qualifizierten Aus- 
wahlverfahren erfolgreich hervorgeht, 
kann die mit dem Amt verbundenen 
Pflichten an Sachkunde und persönli- 
cher Unabhängigkeit erfüllen.” 

Die schleswig-holsteinische Landes- 
datenschutzbeauftragte Marit Hansen, 
deren Wiederwahl vor Gericht ange- 
fochten wurde, sagte: „Ich persönlich 
befürworte Ausschreibungen, weil dies 
zur Bewerbung ermutigen kann. Selbst 
bin ich ja auch über eine Ausschreibung 
und mehrere Auswahlgespräche in das 
Amt gekommen.” Möglich war das, weil 
die Piraten sich damals im Landtag für 
dieses Vorgehen eingesetzt hatten. 
Rechtlich ist eine Ausschreibung nach 
Auffassung des Verwaltungsgerichts 
Schleswig derzeit nicht vorgeschrie- 
ben. Aus eigener Erfahrung fügt Han- 
sen hinzu: „Aber auch Ausschreibungen 
verhindern nicht, dass jemand bei den 
Wahlberechtigten vorab Strippen zieht, 
auf sein Parteibuch pocht oder Ruf- 
schädigungen bezüglich einer anderen 
Person betreibt” (Schulzki-Haddouti, 
Gutachten: Auswahlverfahren für Da- 
tenschützer verstößt gegen DSGVO, 
www.heise.de 03.12.2021, Kurzlink: 
https://heise.de/-6283293, Netzwerk 
Datenschutzexpertise, https://www. 
netzwerk-datenschutzexpertise.de/ 
sites/default/files/gut_2021_ 
bestellgbfdilfd03.pdf). 


Bundesweit 


Marktplätze von Otto & Co. 
verweigern Verantwortung 
für Datenleck 


Informationen, z.B. Bestellungen, 
Adressen und auch Kontodaten, über 
Nutzende der großen Onlinemarktplät- 
ze Otto, Kaufland (ehemalsreal), Media- 
markt, Check24, Tyre24, idealo, Hood 


und Crowdfox waren wegen Sicher- 
heitsmängeln des Dienstleisters „Mo- 
dern Solution“ für Dritte abrufbar. Die 
Marktplätze verweigern sich jedoch ih- 
rer datenschutzrechtlichen Verantwort- 
lichkeit. Von dem Datenleck betroffen 
waren rund 700.000 Endkunden. Von 
ihnen ließen sich Transaktionen seit 
dem Sommer 2018 einsehen: wer wann 
was von welchem Händler gekauft hat, 
mitsamt Anschrift, und in mehreren 
Tausend Fällen sogar die dazugehörigen 
Bankverbindungen. 

Nach Bekanntwerden des Leck erklär- 
te ein Otto-Sprecher, der Vorfall werde 
„zum Anlass genommen den gesam- 
ten Prozess infrage zu stellen” und ihn 
eventuell zu überarbeiten. Die Zugän- 
ge der Händler zum Marktplatz wurden 
komplett gesperrt. Ähnlich reagierte 
eine Sprecherin von Check24. Man ver- 
wende bei den betroffenen Shopping- 
Angeboten generell Alias-E-Mails für 
bestellende Kunden, die echten Mail- 
daten würden nicht an die Händler wei- 
tergegeben, ebensowenig Bankdaten. 
So sollten die Kundeninformationen 
geschützt werden. Kaufland wiederum 
betont nur E-Mails und die Anschrift der 
Kunden bei einer Bestellung weiterzu- 
geben. 


- Fehlerquelle: IT-Dienstleister 


Das Datenleck entstand bei dem 
Dienstleister Modern Solution, über den 
Einzelhändler sich an die Schnittstellen 
der Marktplätze im Web anbinden lassen. 
Solche Firmen sind eine Art technischer 
Mittler zwischen Händlern und Online- 
Handelsplattformen. Eine förmliche 
Vertragsbeziehung haben daher nur die 
Händler mit dieser Firma, nicht aber 
die Marktplätze selbst. Die Plattformen 
schreiben Händlern zwar vor sich um die 
Sicherheit der Daten zu kümmern, mehr 
aber auch nicht. Bei Kaufland hieß es, 
bei einer Bestellung seien die Händler 
direkte Vertragspartner der Kunden und 
damit für den Schutz der Kundendaten 
verantwortlich. Und der Otto-Sprecher 
ergänzte, man wolle die Kundendaten 
schützen: „Ein solcher Vorfall, hervor- 
gerufen durch einen Dritten, zu dem wir 
keine Vertragsbeziehung unterhalten, 
ist dann sehr schädlich.” 

Ca. ein Dutzend solcher Schnitt- 
stellendienstleister tummelten sich 
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im deutschen Markt. Sie helfen den 
Händlern, die sich nicht direkt selbst 
an die Plattformen anbinden wollen 
oder können, und verknüpfen dabei die 
Schnittstellen der Plattformen mit den 
jeweiligen Warenwirtschaftssystemen 
der Händler, die ihre Waren über die 
Onlinemarktplätze verkaufen wollen. 
Bei dem Datenleck von Modern Soluti- 
on zeigt sich, wie sorglos dabei teils mit 
den Kundendaten umgegangen wird. 

Als ein IT-Spezialist im Juni 2021 im 
Auftrag eines Einzelhändlers bei der 
Anbindung zu dessen Schnittstellen- 
dienstleister Modern Solution ein tech- 
nisches Problem beseitigen sollte, stieß 
er auf die klaffenden Sicherheitslücken. 
Modern Solution gewährte seinen Kun- 
den demnach einen direkten Zugriff 
auf seinen Server und mehrere dort 
hinterlegte Datenbanken. Die Firma 
aus Gelsenkirchen hatte zudem in ihrer 
Software, die jeder Händler bei sich in- 
stallieren muss, problemlos auslesbare 
Zugangsdaten zu diesem Server hinter- 
legt, und die galten gleichermaßen für 
alle Kunden. Die Folge: Ein Kunde von 
Modern Solution konnte auf dem Server 
des Dienstleisters die Datenbanken aller 
anderen Kunden und die Transaktionen 
von deren Endkunden einsehen. All die- 
se Informationen lagen dadurch prak- 
tisch offen vor dem IT-Spezialisten. 

Der IT-Spezialist, Chef eines Dienst- 
leisters für Onlinehändler, erläuterte: 
„Man muss sich vorstellen, da ist ein Pro- 
gramm, das alle Daten aller Händler und 
von deren Marktplätzen aggregiert. Und 
dann hatten die für ihre Datenbanken 
das Passwort im Klartext und ohne Ver- 
schlüsselung hinterlegt, Kundendaten 
obendrein auf dem Server seit Jahren 
nicht gelöscht.” Die Software mit den 
Händlerzugangsdaten bei Modern Solu- 
tion hätte man seinen Angaben zufolge 
theoretisch auch über eine Google-Su- 
che finden können, da es für die entspre- 
chende Datei einen freien Downloadlink 
gab. Den Modern-Solution-Server wie- 
derum könnten automatisierte Suchpro- 
gramme finden. Ob das irgendwann mal 
irgendjemand ausgenutzt hat, ist unklar. 
Modern Solution schrieb in seiner ersten 
Stellungnahme an seine Kunden, das sei 
„derzeit nicht bekannt”. 

Die praktisch nicht existente Tren- 
nung bedeutete zudem, dass ein Händ- 
ler, wenn er gehackt worden wäre, zum 


DANA ® Datenschutz Nachrichten 1/2022 


Sicherheitsrisiko für alle anderen Kun- 
den des Dienstleisters geworden wäre. 
Anonym warnte der IT-Experte nach 
seiner Entdeckung Modern Solution in 
einer E-Mail: Mit Erschrecken habe er 
festgestellt, „dass die übermittelten 
Zugangsdaten zu mehreren Datenban- 
ken auf Ihren Servern führen”. In den 
Datenbanken befänden sich „empfind- 
liche benutzerbezogene Daten“. Weitere 
Kundendaten ließen sich aus anderen 
Tabellen auslesen. Er wandte sich auch 
an Mark Steier, den Betreiber der auf 
Onlinehandel spezialisierten Website 
wortfilter.de. Steier veröffentlichte am 
23.06.2021 einen ersten Artikel zu dem 
Fall, danach mehrere weitere, auch weil 
die ersten eiligen Reparaturversuche 
von Modern Solution offenbar untaug- 
lich waren. 

Das bestätigen auch Aussagen eines 
Unternehmenssprechers von Otto. Sofort 
nach Bekanntwerden des Vorfalls sei- 
en alle Passwörter der Händler zurück- 
gesetzt worden: „Als Modern Solution 
vorgab die Sicherheitslücke gefixt zu 
haben, stellten wir fest, dass das System 
weiterhin unsicher war.” Daraufhin sei- 
en die Zugänge dann komplett gesperrt 
worden und eine Anbindung an den Shop 
für Händler nur noch direkt möglich ge- 
wesen. Darüber seien die Händler infor- 
miert worden. Die Website von Modern 
Solution wurde durch einen „Liveticker“ 
ersetzt, in dem die Firma ihre Umbau- 
maßnahmen dokumentierte. 


- Onlinemarktplätze entziehen sich 
Verantwortung 


Für die Einzelhändler ist der Vorgang 
problematisch, weil sie verstärkt auf 
die Onlinemarktplätze streben, um sich 
vom schwieriger werdenden Geschäft 
mit Filialen unabhängiger zu machen. 
Gerade den vielen kleineren und mitt- 
leren Händlern helfen die großen Ver- 
kaufsplattformen relativ schnell und 
einfach neue Kundschaft zu gewinnen. 
In der Coronakrise, in der viele Läden 
geschlossen waren, mutierten die On- 
lineplattformen teils für manche Händ- 
ler zur einzigen starken Umsatzquelle. 
Der Zustrom zu den Marktplätzen ist 
entsprechend groß. 

Die Marktplätze wie z.B. von Otto 
allerdings sehen sich grundsätzlich 
nicht in der Pflicht sich stärker für den 


Schutz von Daten zu engagieren. Es 
gebe schließlich die Verpflichtung der 
Händler sich an den Datenschutz zu 
halten. So weigerten sie sich, wie in der 
Datenschutz-Grundverordnung (DSGVO) 
vorgesehen Benachrichtigung der be- 
troffenen Kunden vorzunehmen. In ihrer 
Ansicht wurden sie von einem Sprecher 
des Landesbeauftragten für Datenschutz 
und Informationsfreiheit Nordrhein- 
Westfalen bestärkt, der meinte, dass das 
Fehlen eines Auftragsvertrags mit den 
Plattformanbietern diese von ihrer Ver- 
antwortlichkeit befreit. 

Eine der betroffenen Kundinnen ist 
Christa Reise-Zunft aus Stuttgart. Sie 
hatte im März 2021 mehrere Kissenfül- 
lungen auf Kaufland.de bestellt. Durch 
das Datenleck waren ihre Post- und Mail- 
adresse sowie Rechnung und Bestellda- 
ten im Netz: „Ich denke, die Daten sind 
geschützt. Die Plattformen müssen die 
Leute doch darüber benachrichtigen.” 

Diese Ansicht wird vom Datenschutz- 
experten Thilo Weichert geteilt: „Art. 33 
und 34 DSGVO verpflichten Verantwort- 
liche zur unverzüglichen Benachrichti- 
gung der zuständigen Aufsichtsbehörde 
und der Betroffenen über ein Datenleck, 
bei dem ein hohes Risiko für die Betrof- 
fenen besteht. Diese Pflicht haben bei 
einer gemeinsamen Verantwortlichkeit 
alle Stellen, so wie dies hier der Fall ist. 
Otto&Co. waren und sind insofern in der 
Pflicht. Für die Online-Kunden besteht 
der zutreffende Eindruck es hier nicht 
nur mit dem einzelnen Händler, son- 
dern auch mit der Marktplattform zutun 
zu haben. Auch wenn formal kein Ver- 
trag mit dem Dienstleister besteht, so 
besteht ein Vertrag mit dem Händler, für 
dessen Dienstleister die Plattform nach 
Datenschutzrecht eine Mitverantwor- 
tung trägt.” Anders als oft die Händler 
seien die Plattformbetreiber auch in der 
Lage auf Sicherheitsverstöße schnell 
und adäquat zu reagieren. 

Die zuständigen Landesdatenschutz- 
beauftragten haben den Fall um das Da- 
tenleck untersucht. Dass die betroffenen 
Kunden seit Monaten nicht informiert 
worden sind, ist auch für Stefan Brink, 
den Landesdatenschutzbeauftragten 
von Baden-Württemberg, ein „schwer- 
wiegender und skandalöser Vorgang”. 
Der Schweizer IT-Sicherheitsexperte 
Mark Ruef hat die Daten analysiert und 
überprüft, ob sie möglicherweise schon 
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im Darknet gehandelt worden sind: „Die 
Daten sind sehr konkret, es sind auch 
Zahlungsinformationen dabei. Damit 
könnte man Phishing-Mails füllen oder 
Identitätsdiebstahl begehen.” Ob die 
betroffenen Datensätze tatsächlich im 
Darknet gehandelt worden seien, lasse 
sich final allerdings nicht mehr klären, 
weil das Datenleck drei Jahre lang be- 
stand (Beuth/Gnirke, IT-Experte ent- 
deckt Informationen von 700.000 Käu- 
fern, www.spiegel.de 01.07.2021; Grä- 
fe, Nutzerdaten jahrelang online, www. 
tagesschau.de 12.01.2022). 


Bundesweit 


Datenschutzkonferenz: 
Gegen die Auskunfteispei- 
cherung von Positivdaten 


Wirtschaftsauskunfteien wie die 
Schufa oder Crif Bürgel sammeln die 
Vertragsdaten von mutmaßlich Millio- 
nen deutscher Mobilfunkkunden, ohne 
dass dafür eine Einwilligung vorliegt. 
Bei den Daten handele es sich um seit 
2018 gesammelte Angaben zum Ver- 
tragsabschluss, zur Dauer des Vertrages 
und einem Vertragswechsel, Verbin- 
dungsdaten sind nicht betroffen. Die 
deutschen Datenschützer vertreten die 
Ansicht, dass Auskunfteien solche Da- 
ten nur verarbeiten dürfen, wenn eine 
ausdrückliche Einwilligung der Betrof- 
fenen vorliegt. Lediglich die Auskunftei 
Infoscore Consumer Data erklärte, sie 
speichere solche Daten nicht. Crif Bür- 
gel betonte, man nutze Handyvertrags- 
daten nicht zur Bonitätsbewertung. 

Am 22.09.2021 hatte die Daten- 
schutzkonferenz (DSK) der Aufsichts- 
behörden der Bundesländer in einem 
Beschluss bekräftigt, dass Auskunftei- 
en sogenannte Positivdaten, die nicht 
zur Erfassung etwa von Zahlungsverzü- 
gen bei Krediten notwendig sind, nicht 
unter Berufung auf die in der Europäi- 
schen Datenschutz-Grundverordnung 
(DSGVO) vorgesehenen Ausnahmen 
speichern dürfen. Sie begründet dies 
damit, dass durch diese Praxis „große 
Datenmengen über übliche Alltagsvor- 
gänge im Wirtschaftsleben erhoben und 
verarbeitet wurden” - völlig ohne An- 
lass. Vielmehr verlangt die DSK, dass es 
„einer wirksamen Einwilligung der be- 
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troffenen Person unter Beachtung der 
hohen Anforderungen an die Freiwillig- 
keit bedarf“. Einem Sprecher des Lan- 
desbeauftragten für Datenschutz von 
Nordrhein-Westfalen gemäß wollen die 
Unternehmen die Einholung einer Ein- 
willigung vermeiden und berufen sich 
auf ihr „berechtigtes Interesse“. 

Gemäß dem Branchenverband „Die 
Wirtschaftsauskunfteien” würde ohne 
die Daten, z.B. zum Mobilvertrag, eine 
Kreditwürdigkeitsprüfung „unnötig er- 
schwert”. Insbesondere „finanzschwä- 
chere Menschen” würden von der Ver- 
arbeitung profitieren, etwa Migranten, 
junge Konsumenten und häufig auch 
Seniorinnen. Der Chef des Verbraucher- 
zentrale Bundesverbands (vzbv) Klaus 
Müller meinte dagegen, hier werde der 
Bock zum Gärtner gemacht. Das Argu- 
ment, finanzschwächeren Menschen 
etwas Gutes zu tun, würde „instrumen- 
talisiert”, es würden ganz andere Inter- 
essen verfolgt. Er hat die Sorge, dass die 
Auskunfteien die Menschen bewerten 
und diese keine Verträge mehr bekom- 
men, weil sie beispielsweise den Vertrag 
wechseln oder oft Rabatte abstauben: 
„Das ist ein falscher Weg - und es hat 
nichts mit dem Mantel der Barmherzig- 
keit zutun.” 

Es wird unterschieden zwischen Nega- 
tiv- und Positivdaten. Negativdaten sind 
solche, die anfallen, wenn ein Verbrau- 
cher z.B. einen Kredit nicht bezahlt. 
Für diese Speicherung kann es wichtige 
Gründe geben. Bei Positivdaten, so Mül- 
ler, sei dies aber grundlegend anders. 
Positivdaten sind Informationen, dass 
z.B. jemand überhaupt ein Konto bei ei- 
nem Mobilfunkunternehmen hat, auch 
wenn er seine Rechnungen pünktlich 
bezahlt. Was genau mit diesen Daten 
passiert, ist selbst den Landesdaten- 
schützern nicht im Detail bekannt, man 
sei vom eher intransparenten Verhalten 
der Auskunfteien „enttäuscht“. 

Die Daten werden u.a. für das soge- 
nannte Scoring benutzt. Dabei wird aus 
verschiedenen Daten ein Wert berech- 
net, der Rückschlüsse auf die Bonität 
von Verbrauchern zulassen soll. Die 
dafür verwendeten Algorithmen halten 
die Auskunfteien geheim. Das Scoring 
wird von Verbraucherschützern schon 
lange kritisiert. Müller: „Damit werde 
ich gläserner als ich es jemals gewesen 
bin. Das ist eine Entwicklung, die wir 


Verbraucherschützer falsch finden, die 
wir ablehnen und von der Datenschutz- 
Grundverordnung in dieser Form, unse- 
rer Meinung nach, nicht abgedeckt ist.” 

Der Hessische Beauftragte für Da- 
tenschutz und Informationsfreiheit 
Alexander Roßnagel erklärte, dass nun 
die Auskunfteien gefordert seien „ihre 
Datenerhebungs- und Verarbeitungs- 
prozesse zu ändern” vzbv-Vorstand 
Müller fordert, dass „dieser wertvolle 
Beschluss” der Datenschutzkonferenz 
nun auch durchgesetzt werden muss. 
Die Daten müssten gelöscht werden. 
Immerhin sei die DSGVO kein zahnloser 
Tiger. Offenbar ist zu der Frage schon 
eine gerichtliche Klage anhängig. 

Auch auf europäischer Ebene wird 
über das Scoring gestritten. Im Hin- 
blick auf die laufende Reform der EU- 
Richtlinie für Verbraucherkredite for- 
dert der EU-Datenschutzbeauftragte 
Wojciech Wiewiörowski genau festzu- 
legen, welche Datenkategorien zur Be- 
wertung der Kreditwürdigkeit verwen- 
det werden dürfen. Wiewiörowski emp- 
fiehlt überdies, dass alle in der DSGVO 
als besonders sensibel eingestuften 
Daten nicht zum Scoring verwendet 
werden sollten. 

Unterdessen befasst sich derzeit auch 
der Europäische Gerichtshof (EuGH) mit 
der Frage, ob und wie die Verarbeitung 
von Scoring-Daten und deren Weiter- 
gabe mit der DSGVO vereinbar ist. Laut 
der DSGVO dürfen Personen „nicht einer 
ausschließlich auf einer automatisier- 
ten Verarbeitung beruhenden Entschei- 
dung unterworfen” werden. Ob die Aus- 
nahme für „Abschluss oder die Erfüllung 
eines Vertrags” für das Scoring gilt, 
haben die EuGH-Richter nun zu klären. 
Sonst bliebe als Arbeitsgrundlage der 
Auskunfteien & 31 des Bundesdaten- 
schutzgesetzes (BDSG), bei dem deut- 
sche Richter Zweifel haben, dass er eu- 
roparechtskonform ist. Auch diese Fra- 
ge sollnun der EuGH beantworten (DSK, 
Beschluss v. 22.09.2021, Verarbeitung 
von Positivdaten von Privatpersonen 
aus Verträgen über Mobilfunkdienste 
und Dauerhandelskonten durch Aus- 
kunfteien; Wischmeyer, Einwilligung 
nicht erteilt, SZ 01.12.2021, 18; Brieg- 
leb, Scoring: Schufa & Co. sammeln 
Handyvertragsdaten ohne Einwilligung, 
www.heise.de 01.12.2021, Kurzlink: 
https://heise.de/-6281597). 
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Bundesweit 


Klarna - Finanzmonster 
ohne Verbrauchertranspa- 
renz 


Gegen das milliardenschwere Fintech- 
Unternehmen Klarna sind in der Berliner 
Datenschutzbehörde mehr Beschwerden 
aufgelaufen als gegen alle anderen Ban- 
ken und Versicherungen zusammen. Der 
schwedische Bezahlspezialist bündelt 
mit seiner Super-App, also einer mehre- 
re Apps oder Funktionen vereinigenden 
Anwendung, Shopping und Girokonto. 
Nutzer können nach einer Registrierung 
in der App überall einkaufen ohne sich 
bei jedem Online-Shop neu anmelden 
zu müssen. Auch Preissenkungen sollen 
über die App zu erkennen sein. 

Wenn ein Shop noch nicht den Klarna- 
Bezahldienst integriert hat, generiert 
Klarna für die Zahlung eine Einmalkre- 
ditkarte. Die Daten aus den Stöber-, Ein- 
kaufs- und Bezahlvorgängen nutzt Klar- 
na, um individuelle Einkaufsvorlieben 
auszumachen und Einkaufsvorschläge 
zu unterbreiten. Die Auslieferung und 
das Paket-Tracking sind ebenfalls in 
die App integriert, womit auch ver- 
schiedene Ortsdaten gesammelt werden 
können. Klarna will so erreichen, dass 
Kunden nur noch über die Klarna-Su- 
per-App einkaufen gehen. Vorbild sind 
die chinesischen Super-Apps Wechat 
und Alipay. Paypal kündigte kürzlich an 
ebenfalls eine Super-App bauen zu wol- 
len, doch die Umsetzung lässt noch auf 
sich warten. 

Klarna gehört zu den Deacorns der 
Startup-Szene: Investoren bewerten das 
2009 gegründete Unternehmen mit 45 
Mrd. US-Dollar. Obwohl Klarna wie ein 
veritabler Bankenkonzern wirkt, agiert 
das Unternehmen gegenüber Kunden 
eher im Startup-Modus. Abteilungslei- 
ter Daniel Holzapfel von der zuständi- 
gen Berliner Datenschutzbehörde (Bln- 
BDI) berichtet, dass Ende 2021 rund 
hundert Beschwerden gegen das schwe- 
dische Fintech-Unternehmen vorliegen. 

Bekannt wurde das Fintech mit der für 
viele Online-Shops angebotenen Option 
„Zahlen auf Rechnung“. Kunden wählen 
diese Option oft in der Annahme, dass 
dadurch keine sensiblen Finanzdaten 
bei einem Online-Bezahldienst entste- 
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hen. Tatsächlich setzen sie dabei aber 
eine umfangreiche Bonitätsprüfung 
in Gang, für die erheblich mehr Daten 
generiert werden, als für eine einfache 
Online-Bezahlung. Bei Klarna können 
Kunden über ihr Konto u.a. Kredite 
aufnehmen, um die Online-Käufe zu 
bezahlen. Die Bundesanstalt für Fi- 
nanzdienstleistungsaufsichtt (Bafin) 
mahnt Käufer bei solchen Angeboten 
ausdrücklich im Rahmen ihrer finanzi- 
ellen Möglichkeiten zu bleiben und die 
effektiven Jahreszinsen zu vergleichen. 
Klarna betreibt auf sozialen Plattformen 
wie Instagram Influencer-Kampagnen, 
die für die Flexibilität der Ratenzahlung 
werben, wo Kunden ihre Raten auch 
aussetzen können. Sara Elisa Kettner, 
Verhaltensforscherin von der Berliner 
Denkfabrik Conpolicy, weist darauf hin, 
dass dies aber, ohne sofort erkennbar 
zu sein, mit sehr hohen Zinsen erkauft 
wird. Problematisch seien auch an junge 
Verbraucher auf TikTok adressierte Klar- 
na-Challenges - etwa im Sinne von „Ich 
habe bei Klarna 2.000 Euro Schulden. 
wer kann das überbieten?” - möglicher- 
weise mit einem späten Erwachen. 

Mit der Super-App fließen nicht nur 
Transaktionsdaten, sondern auch Be- 
stelldaten und Kaufhistorien bei Klarna 
zu Nutzerprofilen zusammen. Die Hälfte 
der Beschwerden beim BlnBDI bezieht 
sich auf den Anspruch der Nutzer auf 
Auskunft beziehungsweise Löschung 
ihrer Daten. Sie monieren, dass Klarna 
zeitweise viele weitere Daten erfragte, 
bevor Nutzer ihren Anspruch letztend- 
lich durchsetzen konnten. Inzwischen 
soll sich das geändert haben. Weitere 
Beschwerden beziehen sich auf Identi- 
tätsdiebstahl: Die Kunden fanden keinen 
direkten Ansprechpartner und konnten 
nur auf automatisierte Formularantwor- 
ten reagieren. Ein E-Bike-Vermieter, der 
die Zahlungen über Klarna abwickelte, 
verifizierte offenbar nicht die angege- 
benen Adressdaten. Auch sogenannte 
Komfortfunktionen irritieren: So soll die 
E-Mail-Adresse genügen, um alle weite- 
ren Daten ausfüllen zu können. 

Die Berliner Datenschützer versuch- 
ten die Beschwerden zunächst im direk- 
ten Kontakt mit der Berliner Zweigstelle 
des Unternehmens zu klären. Ihr einzi- 
ger deutscher Ansprechpartner hat das 
Unternehmen verlassen. Einen neuen 
gibt es nicht. Dies führt nun dazu, dass 


sich auch die zuständige schwedische 
Datenschutzaufsichtsbehörde intensi- 
ver mit Klarna befasst. 


- Erklärung erklärt nichts 


Klarnas Datenschutzerklärung, die 
eigentlich alle wesentlichen Fragen klä- 
ren soll, steht mit Stand 29.10.2021 auf 
rechtlich tönernen Füßen. Die DSGVO 
verlangt von den Unternehmen ihre Da- 
tenschutzbestimmungen in klarer und 
einfacher Sprache zu formulieren. Zielist 
es die Nutzer und Verbraucherinnen so 
zu informieren, dass sie verstehen, was 
mit ihren Daten geschieht. Klarna hat 
für seine App eine Datenschutzerklärung 
verfasst, die ausgedruckt in einer PDF- 
Datei rund 60 Seiten umfasst. Dazu Eli- 
sa Kettner: „Bei 14.000 Wörtern ist mit 
einer Lesezeit von 1,5 Stunden zu rech- 
nen.” Mit Klarnas Datenschutzerklärung 
könnten Verbraucher im Grunde also kei- 
ne informierte Einwilligung erteilen, wie 
sie die DSGVO im Sinn hat. 

Nach Ansicht des Datenschutzex- 
perten Thilo Weichert verstößt die 
Datenschutzerklärung im Web gegen 
sämtliche DSGVO-Transparenzpflichten 
(Art. 12 ff. DSGVO): „Die aufgeführten 
‚Informationen‘ tun nichts anderes als 
alle vorstellbaren Zwecke zu benen- 
nen und dann den Gesetzeswortlaut 
wiederzugeben.” Wo Klarna konkreter 
werden müsste, bleibe das Unterneh- 
men schmallippig: „Wenn irgendwelche 
Stellen beteiligt werden, so werden die- 
se nicht präzise benannt, sondern nur 
als Kategorie, eventuell ergänzt durch 
eine Liste sämtlicher wichtigen Stel- 
len, die in dieser Kategorie tätig sind.” 
Das sei keine Information in „präziser, 
transparenter, verständlicher und leicht 
zugänglicher Form in einer klaren und 
einfachen Sprache“, wie sie Artikel 12 
DSGVO verlange. Die Beliebigkeit der 
Information bestehe „durchgängig“. 
Google mit seinem Recaptcha-Dienst 
und anderen möglichen Diensten wird 
erwähnt, aber nicht erklärt. Dass Über- 
mittlungen in Drittländer erfolgen, wird 
zwar mitgeteilt, aber nicht genau wohin 
und auf welcher konkreten rechtlichen 
Grundlage. 

Die komplette Datenschutzerklärung, 
sei eine „grandiose Nebelmaschine, aus 
der die konkreten Datenverarbeitungen 
weder nachvollzogen, geschweige denn 
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auf ihre Plausibilität hin überprüft wer- 
den könnten.” Dass damit unzulässi- 
ge Verarbeitungsprozesse verschleiert 
werden sollen, „schimmert an vielen 
Ecken durch”. So wird die „ausdrückli- 
che Einwilligung“ zur Verarbeitung von 
sensitiven Daten im Kleingedruckten 
eingeholt. 

Eine Sprecherin von Klarna wies in 
Reaktion auf die Vorwürfe darauf hin, 
dass das Unternehmen „in Ergänzung 
zu unserer Vollversion” auch „eine 
ausführliche, transparente und leicht 
zugängliche Datenschutzerklärung in 
einer einfachen und klaren Sprache 
zur Verfügung” stellen würde. Kun- 
den würden bei jeder einzelnen Da- 
tenschutzanfrage unterstützt. Klarna 
habe „niemals die Absicht als "Gate 
Keeper’ zu agieren”. Weichert kann 
darin keine Hilfe sehen, sondern nur 
eine beschönigende Manipulation, 
wenn als Zwecke angegeben wird: „um 
Ihr Einkaufserlebnis zu verbessern” 
oder „damit wir unsere Produkte auf 
Sie zuschneiden, Ihnen Unterstützung 
anbieten können“. 


- Wer ist verantwortlich? 


Klarnas Super-App agiert als digita- 
ler Türsteher, der darüber entscheidet, 
welcher Händler in die heiligen Hallen 
der App darf - und wer nicht. Klarna 
steht zwischen dem Kunden und den 
Händlern, weshalb bereits der Handels- 
verband Deutschland (HDE) vor einer 
Monopolisierung des Kundenzugangs 
warnt. Klarna trifft keine Aussagen da- 
rüber, wie mit den Daten aus dem Ge- 
schäftsprozess zwischen Händler und 
Bezahldienstleister umgegangen wird. 
Diese sogenannte gemeinsame Verant- 
wortlichkeit erwähnt Klarna in seiner 
überaus wortreichen Datenschutz- 
erklärung aber an keiner Stelle. Zudem, 
so Weichert: „Da ist einmal von der 
Klarna-Group die Rede. Was aber wer 
in der Group macht, ist absolut unklar. 
Die ganze Datenschutzerklärung ist ein 
dicker Buchstabensalat, in dem nichts 
drinnen steht.“ Der Berliner Daten- 
schützer Daniel Holzapfel hält es daher 
für sinnvoll das Thema Datenschutz- 
erklärung 2022 auf die Agenda zu set- 
zen (Schulzki-Haddouti, Klarna: Super- 
App mit Super-Datenschutzproblemen, 
www.golem.de 24.12.2021). 
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Baden-Württemberg/Berlin 


Betroffeneninformation 
über Funkzellenabfragen 


Als erstes Bundesland hat Berlin seit 
Mitte September 2021 ein Funkzellen- 
abfragen-Transparenz-System (FTS) im 
Echtbetrieb und informiert die Bürger 
darüber, obihre Handynummerbei einer 
Funkzellenabfrage der Polizei erfasst 
wurde. Das baden-württembergische 
Justizministerium will dieses FTS nach 
dem Berliner Modell auch einführen und 
hat bereits Planungen und Vorbereitun- 
gen eingeleitet. 

Das FTS informiert alle, die zum Zeit- 
punkt der Funkzellenabfrage im System 
angemeldet waren, per SMS. Die An- 
meldung dafür ist freiwillig, kostenlos 
und das Interesse unter den Berlinern 
ist laut Mitteilung des Justizministe- 
riums hoch: Seit 2018 gab es 18.000 
Registrierungen. Zum September wa- 
ren 3.500 Nummern angemeldet. Die 
Benachrichtigung findet jeweils erst 
nach Abschluss des Ermittlungsverfah- 
rens statt, um die Ermittlungen nicht 
zu gefährden. 

Das Innenministerium in Stuttgart er- 
klärte in Beantwortung einer parlamen- 
tarischen AfD-Anfrage: „Das Justizmi- 
nisterium begleitet die Erfahrungen der 
Berliner Kollegen und steht mit diesen 
in engem Austausch. Gegen die Einfüh- 
rung eines FTS bestehen aus strafpro- 
zessualer Sicht keine Bedenken.” Aus 
einer Mitteilung des Bundesamtes für 
Justiz (Stand: 12.02.2021) geht her- 
vor, dass die Strafverfolgungsbehörden 
in Baden-Württemberg im Jahr 2019 
insgesamt 1.600 zuvor gerichtlich an- 
geordnete Funkzellenabfragen in ins- 
gesamt 1.453 Ermittlungsverfahren 
durchgeführt haben. Bei jeder Funkzel- 
lenabfrage werden alle Mobilfunknum- 
mern, die sich zum Abfragezeitraum in 
der Funkzelle befinden, erfasst. 

Beim Berliner FTS ist zunächst eine 
freiwillige und kostenlose Anmeldung 
für den Dienst erforderlich. Angemel- 
dete Handybesitzer erhalten dann nach 
Abschluss eines Ermittlungsverfahrens 
per SMS einen Bescheid, wenn ihre 
Mobilfunknummer in einer Abfrage er- 
fasst wurde. Anschließend sollen die 
Daten gelöscht werden. Funkzellenab- 
fragen sind in der Strafprozessordnung 


geregelt. Sie müssen demnach von der 
Staatsanwaltschaft beantragt und von 
einem Richter genehmigt werden (Wit- 
tenhorst, Baden-Württemberg: Han- 
dybesitzer sollen über Funkzellenab- 
frage informiert werden, www.heise.de 
20.11.2021. Kurzlink: https://heise. 
de/-6273105). 


Berlin 


Tests mit automatischer 
Parkraumüberwachung 


Das Berliner Bezirksamt Mitte testete 
im Berliner Grunewald Anfang Dezember 
2021 erstmals, wie sich parkende Fahr- 
zeuge mit Hilfe eines ScanCar genann- 
ten Autos automatisch überwachen und 
erfassen lassen. Bei dem Modellprojekt 
wird eine Technik zur digitalen Park- 
raumüberwachung in ausgewählten 
Bezirken erprobt. Ziel ist die „mobile 
Prüfung digitaler Parkberechtigungen 
(‚virtuelle Parkscheine / Vignetten‘)” 
durch Scanfahrzeuge. Dafür werden 
Parkstände vorab erfasst. Der Berliner 
Senat verspricht sich davon, den Park- 
druck, den Parksuchverkehr und das 
Falschparken zu reduzieren. Gleichzei- 
tig soll auf diese Weise weniger Personal 
benötigt werden, da die Straßen nicht 
mehr von Menschen nach Parksündern 
abgesucht werden müssten. 

Eingesetzt wird in Berlin dafür die 
Technik ScanGenius des niederländi- 
schen Herstellers Arvoo. Mehrere Ka- 
meras in einem Dachaufbau scannen 
rundum die Umgebung und können 
Nummernschilder erfassen. Diese wer- 
den mit der GPS-Ortung kombiniert. 
Die Parkraumbewirtschaftung erledigt 
die niederländische Firma Egis, die ihr 
System beispielsweise seit 2017 in Ams- 
terdam betreibt. 

Wer sein oder ihr Auto an einem be- 
wirtschafteten Parkplatz abstellt, gibt 
auf dem Smartphone oder am statio- 
nären Automaten das Kfz-Kennzeichen 
ein. Diese Kennzeichen werden mit den 
vom Scancar erfassten und in einer Da- 
tenbank gespeicherten abgeglichen. 
Wenn das System feststellt, dass ein 
Fahrzeug nicht in der Park-Datenbank 
enthalten ist, wird das Kfz-Kennzeichen 
an die Bußgeldstelle weitergeleitet. 
Auf diese Weise sollen pro Stunde 2.000 
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parkende Autos kontrolliert werden 
können, während eine Ordnungshüte- 
rin auf bis zu 300 Autos am Tag kommt. 
Bisher allerdings gibt es für die Kenn- 
zeichenerfassung zur Parkraumüber- 
wachung keine Rechtsgrundlage. Der 
am 30.11.2021 unterzeichnete Berliner 
Koalitionsvertrag von SPD, Grünen und 
FDP enthält den Passus: „Wir wollen eine 
Öffnung für digitale Anwendungen wie 
digitale Parkraumkontrolle.“ Laut Be- 
zirksbürgermeisterin Monika Hermann 
lassen sich die Kameras des Scancars so 
einstellen, dass sie ausschließlich die 
Kennzeichen erfassen (Wilkens, Berlin 
testet digitale Parkraumüberwachung 
mit Scancars, www.heise.de 07.12.2021, 
Kurzlink: https://heise.de/-6288527). 


Berlin 


Hunderttausende Corona- 
Schnelltest-Daten im Netz 


Durch eine ungeschützte Online- 
Schnittstelle, die mehrere Berliner Co- 
rona-Testanbieter gemeinsam nutzten, 
waren persönliche Daten von mehreren 
hunderttausend Personen im Inter- 
net offen abrufbar. Von dem Datenleck 
betroffen waren personenbezogene 
Informationen wie Name, Anschrift, 
Telefonnummer, E-Mail-Adresse und 
das Ergebnis der Getesteten. In einigen 
Fällen waren auch die Nummern von 
Personalausweis oder Pass der Betrof- 
fenen dabei. 

Die Sicherheitslücke bei den Zentren, 
die sich unter dem Namen „Schnelltest 
Berlin” zusammengeschlossen hatten, 
entdeckte das IT-Kollektiv „Zerfor- 
schung”. Diesem zufolge prüfte der Ser- 
ver über https://corona-api.de/ nicht, 
ob ein abgerufenes Testergebnis das 
der zugehörigen Person ist. Anhand der 
Personenliste schätzen die IT-Sicher- 
heitsexperten, dass fast 700.000 Tester- 
gebnisse von rund 400.000 Kunden ab- 
rufbar gewesen seien. Die Berliner Lan- 
desdatenschutzbehörde ging zunächst 
von über 200.000 Betroffenen aus. 

Im Quellcode entdeckten die Exper- 
ten zudem die Endpunkte, über die 
Mitarbeiter einen neuen Test im Sys- 
tem anlegen und das Testergebnis spei- 
chern können. Der Server überprüfte 
auch hier keine Berechtigung. Die Ha- 


DANA ® Datenschutz Nachrichten 1/2022 


cker machten die Probe aufs Exempel 
und generierten einen PCR-Test mit ne- 
gativem Ergebnis für den 177-jährigen 
Robert Koch. Das ausgegebene Zertifi- 
kat enthielt sogar einen „BärCODE“ als 
vermeintliches Sicherheitsmerkmal, 
der bei einem Scan mit der zugehöri- 
gen Prüf-App auch als gültig erkannt 
wurde. 

Die Firma WeCare Services betreibt 
die IT-Infrastruktur für die Anbie- 
ter von „Schnelltest Berlin“. Gemäß 
dem Unternehmen wurden die Sicher- 
heitslücken umgehend geschlossen. 
Die Betroffenen würden kurzfristig 
informiert. Neben 15 Testzentren in 
der Hauptstadt, die unter dem Ver- 
bundnamen auftreten, gehören zu 
dem Zusammenschluss auch mobile 
Corona-Bike-Testpunkte, auf die oft 
Event-Veranstalter und Clubs setzen. 
Die Zerforscher hatten zuvor bei eini- 
gen anderen Testanbietern ebenfalls 
Schwachstellen aufgedeckt (Krempl, 
Corona-Schnelltests: Daten von Hun- 
derttausenden im Netz, Zertifikate 
fälschbar, www.heise.de 10.11.2021, 
Kurzlink: https://heise.de/-6263796). 


Niedersachsen 


Datenpanne bei Geodaten- 
behörde 


Wegen einer Datenpanne muss Nie- 
dersachsens Landesamt für Geoinfor- 
mation und Landvermessung (LGLN) 
rund 25.000 möglicherweise betrof- 
fene Online-Kunden informieren. 
Eine Behördensprecherin teilte am 
11.01.2022 mit, dass Namen, Anschrif- 
ten, Mailadressen und eventuell auch 
Telefonnummern von Kunden, die digi- 
tale Produkte des LGLN online bezogen 
haben, entwendet wurden und ins Netz 
gelangt sind. Die Behörde warnt die 
Kunden vor möglichen Phishing-Mails, 
in denen sie zur Eingabe von schutz- 
würdigen Informationen aufgefordert 
werden könnten. Vorsorglich werden 
Online-Kunden der letzten zwei Jahre 
informiert. Das LGLN habe sämtliche 
Webdienste gleicher Bauart zunächst 
offline genommen, um sie einer tiefe- 
ren Analyse von internen und externen 
Experten zu unterziehen. Auch das 
niedersächsische Landeskriminalamt 


(LKA) und die Landesdatenschutzbe- 
auftragte seien informiert worden. Eine 
Reihe von Diensten wie zum Beispiel 
„Bodenrichtwerte online” funktionier- 
ten weiterhin. Wer zum Beispiel für 
einen Grundstückskauf Daten und Kar- 
ten benötige, solle sich per Mail an das 
zuständige Katasteramt wenden. Die 
entsprechenden Informationen wür- 
den dann zur Verfügung gestellt (Da- 
tenpanne in Landesamt in Niedersach- 
sen: Möglicherweise 25.000 Kunden 
betroffen, www.heise.de 11.01.2022, 
Kurzlink: https://heise.de/-6322844). 


Nordrhein-Westfalen 


Bettina Gayk neue Chefin 
des LDINRW 


Der Landtag von Nordrhein-Westfalen 
hat am 19.05.2021 einstimmig Bettina 
Gayk zur neuen Landesbeauftragten für 
Datenschutz und Informationsfreiheit 
des Landes Nordrhein-Westfalen (LDI 
NRW) gewählt. Sie folgt damit Helga 
Block, die das Amt seit 2015 innehatte 
und im Sommer 2020 in den gesetzlichen 
Ruhestand eingetreten ist. Herbert Reul 
beglückwünschte die Leitende Ministeri- 
alrätin aus seinem Haus zur Wahl: „Bet- 
tina Gayk bringt eine Spitzen-Erfahrung 
mit; sie weiß wirklich, was Datenschutz 
bedeutet und kennt das Thema seit vie- 
len Jahren. In meinem Haus wird sie für 
ihre Kompetenz und ihre Freundlichkeit 
sehr geschätzt. Für uns ein Verlust, für 
den Datenschutz in Nordrhein-Westfalen 
ein Riesengewinn.” 

Gayk war seit 2012 im nordrhein- 
westfälischen Innenministerium tätig; 
als Referatsleiterin verantwortete sie 
zuletzt den Brand-, Katastrophen- und 
Zivilschutz und war stellvertretende 
Abteilungsleiterin. Ihre Karriere be- 
gann Gayk im Jahr 1991. Als Beamtin 
des Landes Nordrhein-Westfalen absol- 
vierte die studierte Juristin zunächst 
Stationen bei der Bezirksregierung 
Düsseldorf, der Stadt Velbert und in 
Hilden. Von 2001 bis 2012 arbeitete sie 
bereits in der Datenschutzaufsichtsbe- 
hörde des Landes, die damals von den 
Landesdatenschutzbeauftragten Bet- 
tina Sokol und Ulrich Lepper geleitet 
wurden, als Referatsleiterin und Pres- 
sesprecherin. 


37 


Gayk benannte als eines ihrer primä- 
ren Aufgaben eine bessere Präsenz ihrer 
Behörde im Internet: „Die Öffentlich- 
keitsarbeit liegt mir sehr am Herzen. 
Nur wenn wir die Menschen erreichen, 
um deren Daten es schließlich geht, 
können wir diese Grundrechte effektiv 
schützen. In meiner neuen Funktion 
möchte ich zum Beispiel mein eige- 
nes Werk von damals, das immer noch 
online ist, den aktuellen Ansprüchen 
anpassen. Schließlich will ich die Bür- 
gerinnen und Bürger möglichst nut- 
zerfreundlich und einfach informieren” 
(Bettina Gayk neue Landesbeauftragte, 
www.im.nrw 19.05.2021). 


Rheinland-Pfalz 


Luca-App-Daten illegal für 
strafrechtliche Ermittlun- 
gen genutzt 


Obwohl Daten der Luca-App für die 
Strafverfolgung tabu sein sollten, hat 
das Polizeipräsidium Mainz bei Ermitt- 
lungen zu einem Sturz mit Todesfolge 
auf Daten der Luca-App zugegriffen. 
Mittels einer Datenabfrage wurden Be- 
sucher einer Gaststätte in der Mainzer 
Innenstadt ausfindig gemacht, um 
diese als mögliche Zeugen des Vorfalls 
zu gewinnen, der sich am 29.11.2021 
ereignet hatte. Ein Besucher war nach 
dem Verlassen der Gaststätte offenbar 
so gestürzt, dass er einige Tage später 
aufgrund seiner Verletzungen starb. 

Die Polizeisuchte am 13.12.2021 auch 
mit einer Pressemitteilung nach Zeu- 
gen. Eine verantwortliche Mitarbeiterin 
der Gaststätte gab an, dass Beamtinnen 
und Beamte der Mainzer Kriminalpo- 
lizei nach dem Vorfall auch aktiv nach 
Daten aus der Luca-App gefragt haben, 
offenbar, um mit an diesem Abend An- 
wesenden sprechen zu können. Später 
hatte sie dann via Luca-App eine Bitte 
des Gesundheitsamts Mainz um Daten- 
freigabe bezüglich der am 29.11.2021 
anwesenden Gäste erhalten. Dieser habe 
sie stattgegeben. 

Einer der Gäste an jenem Abend be- 
richtete, er sei dann am 20.12.2021 von 
der Polizeiin Mainz kontaktiert worden, 
mit dem Hinweis, dass seine Kontakt- 
daten via Luca-App gewonnen worden 
sind. Die Nutzung von Daten der Luca- 
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App, die in vielen Gaststätten und Res- 
taurants zur Corona-Kontaktverfolgung 
eingesetzt wird, ist unter anderem laut 
Infektionsschutzgesetz (IfSG) aus da- 
tenschutzrechtlichen Gründen für die 
Strafverfolgung unzulässig. Auch die 
Landesregierung Rheinland-Pfalz wirbt 
auf ihrer Website ausdrücklich damit, 
dass die anhand der Luca-App gewonne- 
nen Daten nicht für die Strafverfolgung 
verwendet würden. Auf corona.rlp.de 
heißt es: „Die zur Kontaktnachverfol- 
gung erhobenen Daten dürfen nach 
& 28a Abs. 4 des Infektionsschutzgeset- 
zessowienach 8 1 Abs. 8 der Corona-Be- 
kämpfungsverordnung Rheinland-Pfalz 
nicht zu anderen Zwecken verwendet 
werden.” 

Die Staatsanwaltschaft Mainz bestä- 
tigte die Datenabfrage mit Hilfe der Lu- 
ca-App in Zusammenhang mit dem Fall. 
Insgesamt seien so 21 potentielle Zeu- 
gen ausfindig gemacht und angerufen 
worden. Dies sei mit der entsprechenden 
Polizeibehörde abgestimmt gewesen und 
aufgrund einer fehlerhaften Bewertung 
des Infektionsschutzgesetzes erfolgt. 
Tatsächlich gebe es für die Datenabfrage 
„keine hinreichende rechtliche Grundla- 
ge“. Man habe bereits den behördlichen 
Datenschutzbeauftragten informiert. 
Auch der Landesdatenschutzbeauftragte 
werde unterrichtet. 

Mitarbeiterinnen und Mitarbeiter der 
Staatsanwaltschaft würden hinsicht- 
lich der Rechtslage sensibilisiert: „Die 
Staatsanwaltschaft Mainz drückt ihr 
Bedauern gegenüber den insoweit vom 
unzulässigen Zugriff auf die Daten Be- 
troffenen aus und bittet darum diesen 
Zugriff zu entschuldigen. Es wird si- 
chergestellt, dass die entsprechenden 
Daten nicht weiter genutzt werden.” Die 
Staatsanwaltschaft habe eine Prüfung 
veranlasst, inwiefern in weiteren Er- 
mittlungsverfahren auf Daten der Luca- 
App zurückgegriffen worden sei. Bisher 
sei kein weiterer Fall bekannt. 

Der Datenschutzbeauftrage von 
Rheinland-Pfalz, Dieter Kugelmann, sah 
mit dem Zugriff auf Kontaktinformati- 
onen aus dem System hinter der Luca- 
App durch Strafverfolger „das Vertrau- 
en der Bürger in die Rechtmäßigkeit 
staatlichen Handelns“ erschüttert. Das 
Vorgehen sei „gerade in Zeiten einer die 
Gesellschaft als Ganzes herausfordern- 
den Pandemie das völlig falsche Signal”. 


Der Experte für Polizeirecht hat „umge- 
hend aufsichtsrechtliche Verfahren” 
eingeleitet. Dabei sollen insbesondere 
die Umstände geklärt werden, die un- 
geachtet der eindeutigen Rechtslage zu 
der datenschutzrechtlich unzulässigen 
Abfrage und Nutzung der ausschließlich 
zu Infektionsschutzzwecken erfassten 
Kontaktdaten geführt haben. Besorg- 
niserregend ist für Kugelmann vor al- 
lem, „dass sowohl Staatsanwaltschaft 
als auch Gesundheitsamt die bereits vor 
einiger Zeit geänderte Rechtslage im 
Infektionsschutzgesetz und damit zu- 
sammenhängende datenschutzrechtli- 
che Bestimmungen offensichtlich nicht 
kannten oder sich darüber hinwegge- 
setzt haben“. Die Sanktionsmöglich- 
keiten der Kontrolleure sind gegenüber 
staatlichen Stellen aber deutlich einge- 
schränkter als bei privaten Unterneh- 
men, wo die Datenschutz-Grundverord- 
nung greift. 

Nach dem Vorfall riefen rheinland- 
pfälzische Politiker von Grünen und FDP 
dazu auf, das digitale Tool von Mobilte- 
lefonen zu löschen. Der netzpolitische 
Sprecher der Grünen im Landtag, Alex- 
ander Salomon, meinte: „Was die War- 
nung und die Nachverfolgung angeht, 
ist die Luca-App mausetot.” 

Die Macher der Luca-App kritisierten 
den Missbrauch scharf. Die Mainzer Ge- 
sundheitsbehörde habe auf Druck be- 
ziehungsweise Bitten der Polizei wohl 
„einen Infektionsfall simuliert”, um die 
an sich geschützten Daten entschlüs- 
seln zu können. Der Rapper Smudo als 
Mitentwickler des Systems nannte Auf- 
rufe, die nach den Berichten über den 
polizeilichen Datenzugriff laut wurden, 
die Luca-App zu deinstallieren, „verant- 
wortungslos”. Luca helfe gegenwärtig 
jeden Tag, Infektionsketten zu unter- 
brechen. Experten halten die Anwen- 
dung dagegen für unwirksam, da die 
Arbeitslast in den Gesundheitsämtern in 
den mehrfachen Corona-Wellen zu hoch 
sei. Die dort Beschäftigten kämen gar 
nicht dazu die gelieferten Kontaktdaten 
nachzuverfolgen (Mainzer Polizei nutz- 
teDaten der Luca-App, www.tagesschau. 
de 07.01.2022; Grüne: Luca-App „mau- 
setot“, SZ 10.01.2022, 7; Krempl, Zu- 
griff auf Luca-Daten: Datenschützer 
sieht Rechtsstaatlichkeit untergraben, 
www.heise.de 12.01.2022, Kurzlink: 
https://heise.de/-6324593). 
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Schleswig-Holstein 


Sensible Ausländer- 
behörden-Daten bei eBay 


Michael S. erwarb bei eBay im Auf- 
trag seines Unternehmens bei zwei 
Auktionen insgesamt 13 PCs vom Typ 
Fujitsu D756 SFF vom Verkäufer onkel- 
laepi2020. Die Rechner sollten eigent- 
lich ohne Festplatte geliefert werden, 
doch in einem steckte eine drin. Der PC 
mit einem gelben Punkt an der Geräte- 
front, wie alle Rechner aus der Liefe- 
rung, zeigte beim Aufruf von Windows 
7 einen Desktop-Hintergrund der Han- 
sestadt Lübeck. 

Immer wieder finden sich Behörden- 
PCs mitsamt Festplatte bei eBay. Die an 
die c 't-Redaktion weitergebene Fest- 
platte wurde daraufhin von dem dort 
bestehenden IT-Labor analysiert. Der 
PC mit dem Windows-Namen „LS46- 
WS-1091” war anscheinend im Aus- 
länderamt der Hansestadt eingesetzt 
worden. Er enthielt Daten aus der Zeit 
vom 20.01.2016 bis zum 29.06.2021 
mit 31 nicht gelöschten Nutzerkonten. 
18 Mitarbeiter waren so namentlich als 
auch mit ihrer Funktion in der Behör- 
de zu identifizieren. Darunter waren 
Mitarbeiterinnen wie Anja B. (ano- 
nymisierte Namensangaben), die nur 
wenige Monate im Ausländeramt ihr 
Referendariat ableistete, oder BertaC., 
die offenbar im Jahre 2019 zehn Mona- 
te lang für den Telefonservice des Amts 
zuständig war. Ein langjähriger Mitar- 
beiter Claus D. war als Sachbearbeiter 
„Aufenthaltsbeendigung” tätig, Dieter 
E. wohl im Gebäudemanagement und 
möglicherweise auch im Personalrat 
der Behörde. 

Die Daten auf der Festplatte geben 
Hinweise auf die Arbeitsweise der Aus- 
länderbehörde. So scheint es einen 
zentralen Scanner zu geben, über den 
eingehende Dokumente erfasst und 
dann per E-Mail an die zuständigen 
Sachbearbeiter weitergeleitet werden. 
Auch Faxe an die Behörde werden au- 
genscheinlich per E-Mail verteilt. Aus 
diesen Dokumenten entstehen dann 
komplette Vorgangsakten, die sich 
Mitarbeiter anscheinend in größeren 
Mengen vom zentralen Server herun- 
terladen können. 48 komplette Akten 
unter anderem zu Visa-Anträgen, die im 
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Download-Verzeichnis des Users Star- 
keth zu finden waren, legen dies nahe. 

Die vom System als „Gesamtakte” 
bezeichneten PDF-Dateien wurden 
zwischen 12. und 21.10.2020 auf dem 
Arbeitsplatzrechner gespeichert. Jede 
Akte enthält Personendaten aller an 
dem Visa-Antrag Beteiligten, also auch 
Verdienst- und Vermögensnachweise 
deutscher Bürger, wie sie bei der Ein- 
ladung von Freunden und Verwandten 
aus dem nicht visabefreiten Ausland 
üblicherweise gefordert werden. Die E- 
Mail-zentrierte Arbeitsweise der Behör- 
de führte zum größten Datenfund auf 
der Festplatte: Mehr als 33.400 E-Mails 
mit hochbrisanten Inhalten zu Asyl- als 
auch zu Ausweisungsverfahren waren 
mühelos ohne Einsatz forensischer 
Werkzeuge auf dem Datenträger auszu- 
machen. 

Zu allen möglichen Vorgängen in ei- 
nem Ausländeramt waren passende 
Daten zu finden: Einbürgerungen, Na- 
mensänderungen, Grenzübertrittsbe- 
scheinigungen, Wiedereinreisesperren, 
Fahndungsausschreibungen, Abschie- 
bungsanordnungen, Meldeakten. In 
den E-Mails und ihren Anhängen auf der 
Festplatte fanden sich solche Vorgänge 
nebst zugehörigen Betroffenendaten. 

Dabei handelte es sich zum Teil um 
höchst sensible Daten nach Art. 9 DS- 
GVO mit Angaben zu Religion, sexueller 
Ausrichtung oder ethnischer Herkunft. 
Diese Informationen sind besonders 
streng zu schützen. 

Schuld an diesem über Jahre ange- 
häuften Datengrab war vor allem der 
Einsatz von Microsoft Outlook als E- 
Mail-Client. Zwar nutzt die Hansestadt 
Lübeck einen zentralen Server auf dem 
alle E-Mails gespeichert werden. Doch 
in der Standardkonfiguration legt Mi- 
crosoft Outlook für jeden Nutzer ver- 
steckte sogenannte OST-Dateien an. In 
diesen hinterlegt Outlook jede geöff- 
nete oder versendete Nachricht. Selbst 
vermeintlich gelöschte Nachrichten 
finden sich in den OST-Dateien wieder. 

Zweck des lokalen Zwischenspei- 
chers ist Reduzierung der Serverlast 
und Verringerung des Netzwerkver- 
kehrs. Erkauft wird das mit sich daraus 
zwangsläufig ergebenden Datenschutz- 
problemen. Zwar lässt sich MS-Outlook 
so konfigurieren, dass keine lokalen 
Zwischenspeicher entstehen. Vielen 


Admins ist das aber nicht bekannt - 
oder sie scheuen diese Option, weil der 
Zugriff auf E-Mails dann merklich lang- 
samer werden kann. Wer im Behörden- 
umfeld und beim Umgang mit sensiblen 
Personendaten unbedingt MS-Outlook 
nutzen will, muss zumindest dafür sor- 
gen, dass die Daten auf der Festplatte 
verschlüsselt hinterlegt werden. An- 
dernfalls kann jeder mit physischem 
Zugriff auf den PC die Daten leicht lesen 
oder gar extrahieren. Verschlüsselung 
kostet ein bisschen Performance. 

Nach Auskunft der Datenschutzbe- 
auftragten für Schleswig-Holstein, Ma- 
rit Hansen, schreibt das Land vor, dass 
Datenträger mit sensiblen Daten wie 
Festplatten vor der Verwertung ausge- 
musterter PCs aus dem Rechner ent- 
fernt und anschließend vernichtet wer- 
den müssen. In der Hansestadt Lübeck 
scheint das so geregelt zu sein, dass 
Mitarbeiter der Stadt die Festplatten 
ausbauen, die PCs dann mit einem gel- 
ben Punkt versehen und den Rechner 
anschließend an einen Verwerter über- 
geben. Im Falle der gefundenen und 
von Journalisten ausgewerteten Fest- 
platte wurde da offenbar geschlampt. 
Nach Aussage des Verwerters trug der 
via eBay verkaufte PC zwar einen gel- 
ben Punkt, ob in dem Rechner dann 
aber auch wirklich keine Platte mehr 
war, hätte er nicht überprüft. Die mit 
der Hansestadt Lübeck getroffene Ver- 
wertungsvereinbarung sehe nicht vor, 
dass er jeden einzelnen PC noch einmal 
aufschrauben und überprüfen müsse. 

Die Hansestadt Lübeck gab sich 
nach Mitteilung des Vorfalls einsilbig. 
Bürgermeister Jan Lindenau meinte, 
aufgrund der laufenden Ermittlungen 
könnten leider keine Angaben gemacht 
werden. Man habe den Vorfall an die 
Landesdatenschutzbehörde gemeldet 
und Anzeige erstattet. Gleichzeitig 
forderte er die Redaktion auf die Fest- 
platte mit den Daten des Ausländeramts 
Lübeck zu übergeben. Diese teilte dem 
Bürgermeister mit, dass die Festplatte 
bis auf Weiteres in sicherer Verwah- 
rung bleibe. Die Datenschutzbehörde 
aus Schleswig-Holstein kündigte an 
sich die Sache sehr genau anzusehen 
(Schnurer, 33.000 hochsensible Mails 
aus dem Ausländeramt Lübeck bei eBay 
verkauft, www.heise.de 28.01.2022, 
Kurzlink: https://heise.de/-6335260). 
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Datenschutznachrichten aus dem Ausland 


Weltweit 


Google scannt Drive-Cloud- 
Inhalte 


Google hat in einem Blogbeitrag Mit- 
te Dezember 2021 eine neue Richtlinie 
für den Cloud-Speicherdienst Drive 
angekündigt, wonach er künftig den 
Zugriff auf Dateien einschränken wird, 
die gegen die Unternehmensrichtlinien 
und die Nutzungsbedingungen versto- 
ßen. Diese betreffen eine breite Palette 
strafbarer und schädlicher Inhalte. Sie 
reicht von Cybercrime-Tatbeständen 
über den Schutz des Urheberrechts bis 
hin zu Darstellungen sexuellen Kindes- 
missbrauchs. 

Der Internetkonzern will von sich aus 
Schritte unternehmen, um einschlägi- 
ge, auf seiner Plattform gehostete Da- 
teien zu identifizieren, die mit Upload- 
Filtern flächendeckend gescannt wer- 
den. Schlagen die dafür eingesetzten 
Algorithmen an, werden die entspre- 
chenden Dateien dem Nutzer angezeigt 
und automatisch für Dritte gesperrt. 
Sie können also nicht mehr mit anderen 
Personen geteilt werden. Der Zugriff auf 
bereits verbreitete Inhalte wird allen au- 
ßer dem Uploader entzogen. 

Als Begründung führt der Konzern 
Folgendes aus: „Dies wird dazu beitra- 
gen, dass die Eigentümer von Google 
Drive-Elementen vollständig über den 
Status ihrer Inhalte informiert sind.” 
So werde sichergestellt, „dass die Nut- 
zer vor missbräuchlichen Inhalten ge- 
schützt sind”. Zudem will sich Google 
selbst gegen den Missbrauch der eige- 
nen Dienste besser absichern. 

Die „Richtlinien zur Verwendung von 
Google-Produkten”, die nun stärker 
durchgesetzt werden sollen, untersagen 
u.a. „gefährliche und illegale Aktivitä- 
ten“, „Belästigung, Mobbing und Dro- 
hungen” sowie „Hassrede”. Nicht gedul- 
det werden zudem Identitätsdiebstahl 
und Falschdarstellungen, Malware, 
Phishing, Spam und „nicht einvernehm- 
liche, freizügige“ Bilder wie Nacktauf- 
nahmen sowie Pornografie allgemein. 
Ausnahme: „Gestattet ist Nacktheit zu 
pädagogischen, dokumentarischen, 
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wissenschaftlichen oder künstlerischen 
Zwecken.” Aufgeführt werden auf der 
langen Liste ferner etwa „irreführende 
Inhalte“, nicht autorisierte Bilder von 
Minderjährigen, Blut und drastische 
Gewaltdarstellung sowie Propagan- 
da gewalttätiger Organisationen und 
Bewegungen. Auch urheberrechtlich 
geschützte Inhalte dürfen nicht ohne 
Genehmigung geteilt oder Links auf 
Webseiten verbreitet werden, auf denen 
solches Material illegal heruntergela- 
den werden kann. Wiederholte Verstöße 
führen hier „zur Kündigung Ihres Kon- 
tos”. 

Google begründet den Vorstoß: „Wir 
müssen Missbräuche eindämmen, die 
unsere Fähigkeit bedrohen diese Diens- 
te bereitzustellen.” Alle Nutzer werden 
gebeten sich an die Vorgaben zu halten: 
„Nachdem wir über einen möglichen 
Verstoß gegen die Richtlinien infor- 
miert wurden, können wir den Inhalt 
überprüfen und Maßnahmen ergreifen, 
einschließlich der Einschränkung des 
Zugriffs auf den Inhalt, der Entfernung 
des Inhalts und der Beschränkung oder 
Beendigung des Zugriffs eines Nutzers 
auf Google-Produkte.” Wie das Unter- 
nehmen zwischen rechtmäßigen Da- 
teien und Inhalten, die gegen die Vor- 
schriften verstoßen, im Detail unter- 
scheiden will, bleibt offen. Um sicher- 
zustellen, dass die mehrfach erwähnten 
Ausnahmen für legitime Zwecke greifen, 
müssten eigentlich menschliche Begut- 
achter über die Upload-Filter wachen 
und die letzte Entscheidung treffen. 

Der Konzern äußerte sich hierzu 
nicht. Er verwies nur allgemein darauf, 
dass man bei dem Cloud-Service ständig 
daran arbeite „die Sicherheit unserer 
Nutzer und der Gesellschaft zu schützen 
und dabei stets die Privatsphäre zu wah- 
ren“. Bei Google Mail würden Inhalte 
seit Langem auf Spam sowie Phishing- 
und Malware-Angriffe gescannt. Nun sei 
es wichtig diese Praxis auch für Google 
Drive zu übernehmen, damit der Dienst 
„für alle Nutzer so sicher wie möglich 
bleibt”. Google analysierte Mails lange 
auch, um Nutzern gezielte personenbe- 
zogene Werbung anzuzeigen. 2017 stell- 
te das Unternehmen diese Praxis ein, 


nachdem unter anderem Datenschützer 
Druck gemacht hatten. 2018 wurde be- 
kannt, dass Drittentwickler weiterhin in 
die Gmail-Postfächer schauen und Milli- 
onen Mails lesen können. 

In der EU können Google, Facebook, 
Microsoft und andere Diensteanbieter, 
die etwa bei Chats, Video-Calls und E- 
Mails keine Ende-zu-Ende-Verschlüsse- 
lung einsetzen, die privaten Nachrich- 
ten ihrer Nutzer in der EU seit Kurzem 
wieder freiwillig rechtmäßig nach se- 
xuellen Missbrauchsdarstellungen von 
Kindern scannen. Das EU-Parlament 
hatte dazu im Juli per Eilverordnung 
Ausnahmen von der Anwendung einiger 
Bestimmungen der E-Privacy-Richtlinie 
zum Datenschutz in der elektronischen 
Kommunikation eingeführt. Die EU- 
Kommission arbeitet mit Unterstützung 
des Ministerrats an einem Folgegesetz, 
um diese umstrittene „Chatkontrolle” 
für alle einschlägigen Dienstleister ver- 
pflichtend zu machen (Krempl, Google 
scannt Cloud-Dateien nach rechtswid- 
rigen und schädlichen Inhalten, www. 
heise.de 18.12.2021, Kurzlink: https:// 
heise.de/-6298682). 


Weltweit 


Strafverfolger bestücken 
„Have I Been Pwned”“ 


Die Nationale Kriminalbehörde Groß- 
britanniens NCA (National Crime Agen- 
cy) hat eine Datenbank mit fast 600 Mio. 
sichergestellten Passwörtern gemäß 
dem Projektverantwortlichen Troy Hunt 
an das Projekt Have I Been Pymed wei- 
tergegeben; über 225 Mio. waren dort 
noch nicht in der Datenbank. Wer den 
Dienst nutzt, kann also nun auch her- 
ausfinden, ob eigene Zugangsdaten in 
diesem neuen Datensatz enthalten sind. 
Der lag demnach auf einem kompro- 
mittierten Cloud-Server und sei keiner 
Plattform zuzuordnen gewesen. 

Have I Been Pwned hat darüber hin- 
aus jetzt auch eine bereits angekün- 
digte Schnittstelle, über die Strafver- 
folgungsbehörden solche Datensätze 
schneller an das Projekt geben können. 
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Für diese Erweiterung hat Hunt mit der 
US-Bundespolizei FBI zusammengear- 
beitet. Dafür hat er das System in eine 
Open-Source-Software umgewandelt 
und den Quellcode verfügbar gemacht. 
Hunt hatte im Frühjahr 2021 damit 
begonnen. Den Aufwand hatte er un- 
terschätzt und war dann von der .NET 
Foundation unterstützt worden, einer 
von Microsoft unterstützten Non-Profit- 
Organisation. Dank der neuen Koopera- 
tion kann das Projekt nun viel schneller 
aktualisiert werden, wenn ein Leak be- 
kannt wird und erbeutete Datensätze 
öffentlich werden. 

Hunt hatte seinen Passwort-Prüf- 
dienst Ende 2013 eröffnet, inspiriert 
durch einen immensen Hack bei Ado- 
be. Seitdem ist er eine immer beliebter 
gewordene Anlaufstelle für Internet- 
nutzer, die erfahren wollen, ob ihre Zu- 
gangsdaten im Zuge eines Hacks kom- 
promittiert wurden. Dazu bindet Hunt 
verfügbar gewordene Datenbanken ein. 
Interessierte können dann prüfen, ob 
es für ihre E-Mail-Adresse darin einen 
Treffer gibt. Hunt stellt zusätzlich eine 
API für eine automatisierte Abfrage be- 
reit. 2019 hatte Hunt angekündigt den 
Dienst verkaufen zu wollen, dann aber 
grundsätzlichen Zweifel an dem Plan 
bekommen. Aus dem Verkauf wurde 
nichts. Have I Been Pwned soll auf ab- 
sehbare Zeit hin unabhängig bleiben 
(Holland, Have I Been Pwned: 225 Milli- 
onen neue Passwörter von britischer Po- 
lizeibehörde, wwwr.heise.de 21.12.2021, 
Kurzlink: https://heise.de/-6301963). 


Weltweit 


Meta schließt einige 
Spionageaccounts aus 


Der Facebook-Konzern Meta teilte 
am 16.12.2021 mit, dass rund 50.000 
Nutzerinnen und Nutzer ins Visier von 
Überwachungsfirmen geraten sind, 
die sie ausspionieren wollten. Die Be- 
troffenen seien hierüber unterrichtet 
worden. Meta, zu dem auch Instagram 
und WhatsApp gehören, habe mehre- 
re Unternehmen von seinen Plattfor- 
men verbannt. Dafür seien rund 1.500 
Scheinkonten entfernt worden, über die 
Informationen über Nutzer in mehr als 
100 Ländern gesammelt worden seien. 
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Die Überwachungsfirmen stammen 
demnach aus Israel, Indien und Nord- 
mazedonien. Zu den von Meta genann- 
ten Unternehmen gehören Black Cube 
sowie Bluehawk CI aus Israel, BellTroX, 
eine indische Cyber-Söldnerfirma, die 
im vergangenen Jahr von Reuters und 
dem Internet-Watchdog Citizen Lab ent- 
tarnt wurde, und ein europäisches Un- 
ternehmen namens Cytrox. Auch eine 
nicht näher identifizierte Gruppe aus 
China habe versucht Nutzer auszuspio- 
nieren. Black Cube ist für ihren Einsatz 
im Auftrag des ehemaligen Hollywood- 
Produzenten und Sexualstraftäters Har- 
vey Weinstein bekannt. Als Basis für das 
Vorgehen gegen die Firmen verweist 
Meta darauf, dass diese gegen Nut- 
zungsbedingungen verstoßen hätten. 

Die betroffenen Nutzer leben Face- 
book zufolge unter anderem in den USA, 
Neuseeland, Mexiko, Hongkong und 
Polen. Sie seien zunächst beobachtet 
und auskundschaftet worden. Danach 
hätten die Firmen häufig versucht über 
fingierte Accounts mit ihnen Kontakt 
aufzunehmen, um Überwachungssoft- 
ware aufihre Geräte zu bringen. 

WhatsApp verklagte bereits vor ei- 
niger Zeit den israelischen Überwa- 
chungssoftware-Spezialisten NSO, weil 
dessen „Pegasus”-Software gegen Nut- 
zer des Chatdienstes eingesetzt worden 
sei (Rund 50.000 Nutzer im Visier von 
Überwachungsfirmen, www.horizont. 
net 17.12.2021; Weniger Spione auf 
Facebook, SZ 18./19.12.2021, 24). 


EU 


EDSB beanstandet 
Corona-Test-Webseite des 
EU-Parlaments 


Der Europäische Datenschutzbeauf- 
tragte (EDSB) Wojciech Wiewiörowski 
monierte am 05.01.2022, dass das Eu- 
ropäische Parlament auf seiner Corona- 
Test-Seite rechtswidrig u.a. Google Ana- 
lytics eingebunden hat. Er verlangte, 
dass das Parlament seine Covid-19-Test- 
Webseite innerhalb eines Monats nach- 
bessert und die Privatsphäre der Nutzer 
besser absichert. Er rügte auf Beschwer- 
de mehrerer Abgeordneter und der Bür- 
gerrechtsorganisation noyb, dass das 
Parlament auf seiner Seite für das Test- 


zentrum gegen das Datenschutzrecht 
verstoßen hat. 

Während der Corona-Pandemie setzt 
das Parlament auf ein Testcenter des 
Anbieters EcoCare, für das sich die 
Mitglieder der Institution im Intranet 
registrieren können. Beim Zugriff auf 
die Webseite entdeckten Volksvertreter, 
dass diese anfangs mehr als 150 Anfra- 
gen von Drittanbietern verschickte. Da- 
runter waren auch die US-Unternehmen 
Google und Stripe. Wiewiörowski hob 
in seiner Entscheidung hervor, dass 
der Einsatz von Google Analytics und 
des Zahlungsanbieters Stripe nicht mit 
dem Schrems II-Urteil des Europäischen 
Gerichtshofs (EuGH) zum Transfer per- 
sonenbezogener Daten zwischen der 
EU und den USA vereinbar ist. Die Lu- 
xemburger Richter hatten dort erneut 
festgestellt, dass US-Sicherheitsgesetze 
eine Massenüberwachung ermöglichen 
und der Datenschutzstandard in den 
Vereinigten Staaten daher nicht dem in 
der EU entspricht. 

Die Ansage Wiewiörowskis ist eine 
der ersten Entscheidungen zur Umset- 
zung von „Schrems II” in der Praxis. Sie 
könnte für zahlreiche weitere einschlä- 
gige Fälle wegweisend sein, die zurzeit 
Gerichte und Regulierungsbehörden 
behandeln. Zuvor hatte z.B. das Ver- 
waltungsgericht Wiesbaden einer Hoch- 
schule auf Basis des EuGH-Grundsatzur- 
teils untersagt auf ihrer Homepage den 
„Cookiebot” einzubinden und Daten so 
in die USA zu übermitteln (vgl. in die- 
sem Heft S. 60). 

Die erste Beschwerde beim EDSB hat- 
te die Grüne Alexandra Geese im Namen 
weiterer Abgeordneter wie Patrick Brey- 
er (Piratenpartei) eingereicht. noyb un- 
termauerte dieses Vorgehen vor einem 
Jahr mit einer weiteren Eingabe. Die 
Beschwerdeführer beanstandeten auch, 
dass die Cookie-Banner der Webseite 
unklar und irreführend seien: Die Be- 
treiber hätten darin nicht alle platzier- 
ten Browser-Dateien aufgelistet, zudem 
habe es Unterschiede zwischen unter- 
schiedlichen Sprachversionen gegeben. 
Folglich sei es den Nutzern nicht mög- 
lich gewesen, eine gültige Zustimmung 
zu erteilen. Das Parlament entfernte da- 
raufhin alle Cookies. 

Der EDSB bestätigte ferner die Auf- 
fassung der Beschwerdeführer, dass die 
Datenschutzinformationen des Testzen- 
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trums nicht klar und verständlich gewe- 
sen seien. Damit habe das Parlament ge- 
gen die Transparenzpflicht verstoßen. 
Zudem habe das Gremium Auskunftser- 
suchen nicht korrekt beantwortet. 

Die Aufsichtsbehörde erteilte dem 
Parlament einen Verweis für die ver- 
schiedenen Verstöße gegen eine spezi- 
elle, für die EU-Institutionen geltende 
Datenschutzverordnung. Dazu kommen 
eine Verwarnung und eine Unterlas- 
sungsanordnung mit einer Frist von 
einem Monat. Im Gegensatz zu den na- 
tionalen Datenschutzbehörden kann 
Wiewiörowski nur unter bestimmten 
Umständen eine Geldstrafe verhängen, 
die in diesem Fall nicht erfüllt waren. 
Die hier nicht greifende Datenschutz- 
Grundverordnung bietet mehr Spiel- 
raum für Sanktionen (Krempl, EU-Da- 
tenschützer verwarnt Parlament wegen 
Datentransfer an Google und Stripe, 
www.heise.de 11.01.2022, Kurzlink: 
https://heise.de/-6323169). 


EU 


EDSA erläutert Auskunfts- 
anspruch nach Art. 15 
DSGVO 


Der Europäische Datenschutz- 
ausschuss (EDSA bzw. EDPB - Euro- 
pean Data Protection Board), hat am 
15.01.2022 beschlossene Leitlinien zum 
Recht auf Auskunft nach Art. 15 DSGVO 
veröffentlicht (Guidelines 1/2022). Der 
EDSA ist das wichtigste Gremium der 
europäischen Datenschutzaufsichts- 
behörden. Es besteht aus Vertretern 
der Datenschutzbehörden aller EU-Mit- 
gliedsstaaten und dem Europäischen 
Datenschutzbeauftragten, der für den 
Datenschutz bei den Organen und Ein- 
richtungen der EU zuständig ist. 

In dem 60 Seiten starken Dokument 
setzen sich die Datenschutzaufsichts- 
behörden mit zahlreichen, in der Praxis 
teilweise äußerst umstrittenen Fragen 
auseinander. Der EDSA geht außer auf 
die Form der Übermittlung der jeweili- 
gen Auskunft an den Betroffenen auf die 
formellen Anforderungen an Auskunfts- 
ersuchen ein und macht Vorgaben in Be- 
zug auf die Identifikation des Betroffe- 
nen. Er beantwortet die Frage, wann ein 
Auskunftsersuchen als offenkundig un- 
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begründet oder exzessiv angesehen und 
damit abgelehnt werden kann. Die Unbe- 
gründetheit von Auskunftsersuchen wird 
in der Praxis recht häufig zur Abwehr von 
Auskunftsersuchen vorgebracht und war 
bereits häufiger Gegenstand von gericht- 
lichen Entscheidungen, insbesondere 
auch im Arbeitsrecht. 

Der EDSA befürwortet eine weite Aus- 
legung des Auskunftsanspruchs und 
legt die Möglichkeiten des Verantwortli- 
chen, das Auskunftsersuchen zurückzu- 
weisen, eng aus. Der Text versteht sich 
als Entwurf, zu dem der EDSA im Rah- 
men eines öffentlichen Konsultations- 
verfahrens insbesondere Verbände und 
Interessenvertreter zur Einreichung von 
Stellungnahmen aufruft. Bei Leitlinien 
und Stellungnahmen der Datenschutz- 
aufsichtsbehörden handelt es sich stets 
um Empfehlungen, denen keine rechtli- 
che Bindungswirkung zukommt. Auch 
wenn diese keine Rechtssicherheit 
bringen, so geben sie Hinweise auf das 
Verständnis der Aufsichtsbehörden und 
sind ein bedeutender Impuls für die De- 
batte und wichtiger Orientierungspunkt 
für den Umgang mit Auskunftsersuchen 
(Hessel, EU-Datenschutzaufsichts- 
behörden befürworten weites Aus- 
kunftsrecht, www.heise.de 28.01.2022, 
Kurzlink: https://heise.de/-6342280; 
https://edpb.europa.eu/system/ 
files/2022-01/edpb_guidelines_ 
012022_right-of-access_0.pdf). 


EU 


Datenschutzbeauftragter 
gegen Targeting bei Polit- 
Werbung 


Der Europäische Datenschutzbeauf- 
tragte Wojciech Wiewiörowski fordert 
in einer am 20.01.2022 veröffentlichten 
Stellungnahme, dass der Gesetzentwurf 
der EU-Kommission für mehr Transpa- 
renz bei politischer Werbung nachge- 
schärft wird. Er empfiehlt, Microtarge- 
ting bei Wahlwerbung vollständig zu 
verbieten. Gemäß dem Kommissions- 
vorschlag sollen Anbieter politischer 
Online-Anzeigen nur besonders sensible 
Daten nicht mehr für politische Zwecke 
nutzen. Sie dürften also Informationen 
etwa über die politische Einstellung, 
sexuelle Orientierung, Religion, Ge- 


sundheit oder ethnische Herkunft nicht 
mehr ohne Zustimmung der Betroffenen 
verwenden, um einschlägige Werbung 
auf eine Person per Microtargeting und 
dem damit verknüpften Erstellen von 
Psychogrammen zuzuschneiden. 
Wiewiörowski will erreichen, dass für 
politische Botschaften von Datensamm- 
lern wahrgenommene Präferenzen oder 
Interessen der Adressaten überhaupt 
nicht eingesetzt werden dürfen. Das On- 
line-Verhalten der Betroffenen müsse in 
diesem Fall komplett außen vor bleiben. 
Der Datenschutzbeauftragte spricht 
sich zudem dafür aus, dass weitere Ein- 
schränkungen bei personenbezogenen 
Daten eingeführt werden sollten, die 
zum Zweck der politischen Werbung 
verarbeitet werden dürfen. Dies müsse 
vor allem für Fälle gelten, in denen eine 
solche Wähleransprache den Einsatz von 
Targeting-Techniken beinhaltet: „Politi- 
sche Kommunikation ist für Bürger, po- 
litische Parteien und Kandidaten uner- 
lässlich, um voll am demokratischen Le- 
ben teilnehmen zu können. Um unsere 
Demokratie zu bewahren, brauchen wir 
auch strenge Regeln, um Desinformati- 
on, Wählermanipulation und Eingriffe 
in unsere Wahlen zu bekämpfen.” Die 
EU müsse daher mehr unternehmen, um 
die mit Targeting-Verfahren verknüpf- 
ten Risiken anzugehen. Parallel macht 
sich das EU-Parlament dafür stark über 
den geplanten Digital Services Act 
(DSA) allgemein „spionierende Wer- 
bung” anhand sensibler persönlicher 
Daten zu untersagen (Krempl, Politi- 
sche Werbung: EU-Datenschützer for- 
dert komplettes Targeting-Verbot, www. 
heise.de 21.01.2022, Kurzlink: https:// 
heise.de/-6335147). 


EU 


Polizeivernetzung, vor 
allem mit Gesichtsbild- 
austausch, wird vorange- 
trieben 


Der Prümer Vertrag, der bislang den 
Austausch etwa von Gen- und Finger- 
abdruckdaten in der EU regelt (DANA 
1/2021, 16), soll erweitert werden. 
Einbezogen werden dürfen laut dem am 
08.12.2021 veröffentlichten Vorschlag 
der EU-Kommission für einen Kodex 
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für die polizeiliche Zusammenarbeit 
künftig auch Fahndungsfotos oder bio- 
metrische Lichtbilder in polizeilichen 
Datenbanken, die eine automatisierte 
Gesichtserkennung unterstützen. 

Die Initiative findet sich im Entwurf 
der Kommission für eine Verordnung 
„über den automatisierten Datenaus- 
tausch für die polizeiliche Zusammenar- 
beit“, der Teil des vorgelegten Gesetzes- 
pakets ist. Der 2005 begründete Prüm- 
Rahmen soll um Gesichtsbilder von Ver- 
dächtigen und verurteilten Straftätern 
sowie um Strafregisterdaten ergänzt 
werden. 

Ferner wird dem Plan zufolge auf EU- 
Ebene ein zentraler Router eingerichtet, 
an den die nationalen Polizei-Daten- 
banken angeschlossen werden können. 
Damit sollen sich die bisher benötigten 
„zahlreichen Verbindungen zwischen 
den einzelnen nationalen” IT-Systemen 
im Strafverfolgungsbereich erübrigen. 
Für Europol ist die Befugnis vorgesehen 
die Mitgliedstaaten effizienter zu unter- 
stützen. Die Den Haager Polizeibehörde 
soll Daten aus Drittländern mit den Da- 
tenbanken der EU-Länder abgleichen 
dürfen, um Straftäter zu identifizieren, 
die jenseits der Grenzen der Gemein- 
schaft bekannt sind. 

Gemäß der Kommission soll Europol 
zu einem integralen Bestandteil des 
Prüm-Vertrags werden. Die Mitglied- 
staaten würden auch in die Lage ver- 
setzt die dort gespeicherten biometri- 
schen Daten von Nicht-EU-Ländern zu 
überprüfen. Insgesamt solle der Ansatz 
gewährleisten, „dass keine Lücken in 
den von Nicht-EU-Ländern erhaltenen 
Daten über Kriminalität und Terroris- 
mus entstehen”. 

Derzeit erfolgt der Austausch von 
Gesichtsbildern und polizeilichen Auf- 
zeichnungen zwischen den Mitglied- 
staaten. Gemäß der Initiative fehlt ein 
effizientes EU-weites Abgleichverfah- 
ren, das die Möglichkeiten zur Identi- 
fizierung von Tätern erheblich erhöht. 
Dabei könnten auch verschiedene 
Identitäten oder mehrere Straftaten 
aufgedeckt werden, die von derselben 
Person in anderen EU-Ländern began- 
gen wurden. 

Künftig soll ein Foto einer unbekann- 
ten Person, das etwa eine Überwa- 
chungskamera an einem Tatort aufge- 
nommen hat, mit einer Datenbank ab- 
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geglichen werden können, die Gesichts- 
bilder bekannter Personen enthält. Die 
mithilfe biometrischer Gesichtserken- 
nung ausgegebene Trefferliste werde 
dann von einer menschlichen Fachkraft 
imanfragenden Mitgliedstaat überprüft. 
Die Suche könne nur im Zusammenhang 
mit einer bestimmten strafrechtlichen 
Ermittlung und nach Begehung einer 
Straftat durchgeführt werden. 

Weiter heißt es: „Ein Abgleich von 
Gesichtsbildern mit der Allgemeinbe- 
völkerung findet nicht statt”. Auch der 
Einsatz von Künstlicher Intelligenz sei 
nicht vorgesehen. Die Suche erfolge 
rückwirkend. Eine Live-Gesichtserken- 
nung oder biometrische Fernidentifizie- 
rung großer Personengruppen in öffent- 
lichen Räumen sei damit nicht möglich. 
Es werde auch keine zentrale Datenbank 
für Fahndungsfotos errichtet. Zudem 
gälten die „robusten“ Grundsätze der 
Datenschutzrichtlinie für Polizei und 
Justiz weiter. 

Die Kommission hält einige der Prüm- 
Vorschriften über die technischen Spe- 
zifikationen von Abfragen, Sicherheits- 
maßnahmen und Kommunikation für 
„veraltet“. Wissenschaft und Technik 
hätten sich auf diesem Feld in den ver- 
gangenen zehn Jahren erheblich wei- 
terentwickelt. Unterschiedliche natio- 
nale Vorschriften und Verfahren für das 
weitere Vorgehen bei einem „Treffer“ 
könnten ferner „zu erheblichen Verzö- 
gerungen beim Informationsaustausch 
führen”. 

Die Kommission hat ihre Initiative 
langfristig vorbereitet, indem sie etwa 
beim Beratungs- und Dienstleistungs- 
haus Deloitte eine Machbarkeitsstudie 
für ein erweitertes Prüm-Verfahren in 
Auftrag gab. Die Experten rieten dazu 
den Vertrag auf „neue Datenkategorien” 
auszudehnen. Der Ministerrat setzte 
parallel „Fokusgruppen” zum europa- 
weiten Austausch von Gesichtsbildern 
ein, die aus Brüssel eine halbe Million 
Euro erhielten. Aus Deutschland war das 
Bundeskriminalamt (BKA) beteiligt. Die 
Verordnung muss noch das EU-Parla- 
ment und den Rat passieren. 

Kritiker bezeichneten das Vorhaben 
schon früh als hochproblematisch. Mit- 
gliedsländer könnten das System etwa 
nutzen, um gezielt politische Gegner 
zu verfolgen. Die Bürgerrechtsorgani- 
sation European Digital Rights (EDRi) 


warnt, durch die geplante zusätzliche 
Automatisierung würden „wichtige 
verfahrenstechnische und gerichtliche 
Schutzmaßnahmen” ausdrücklich auf- 
gehoben. Prüm II berge auch die Gefahr 
zu verstärkter Diskriminierung, da die 
Polizei bestimmte ethnische und margi- 
nalisierte Bevölkerungsgruppen öfters 
kontrolliere. Jede Gesichtsdatenbank 
erhöhe das Risiko einer biometrischen 
Massenüberwachung. Oft würden in 
solchen Registern viele Unschuldige ge- 
speichert. 

Mit einer Richtlinie will die Kommis- 
sion zudem gewährleisten, dass Polizei- 
beamten in einem Mitgliedstaat unter 
denselben Bedingungen der gleiche 
Zugang zu Informationen gewährt wird 
wie ihren Kollegen vor Ort. Es sollen 
rund um die Uhr besetzte zentrale Kon- 
taktstellen eingerichtet werden, um den 
Austausch über die Secure Information 
Exchange Network Application (SIENA) 
von Europol zu beschleunigen. Dazu 
kommt der Entwurf für eine Ratsemp- 
fehlung für erweiterte operative Einsät- 
ze etwa in Grenzgebieten zwischen EU- 
Ländern. Damit sollen etwa gemeinsame 
Polizeipatrouillen erleichtert und dazu 
„sichere Kommunikationssysteme” ein- 
geführt werden (Krempl, Fahndung: EU- 
Kommission drängt auf EU-weiten Ab- 
gleich von Gesichtsbildern, www.heise. 
de 08.12.2021, Kurzlink: https://heise. 
de/-6289814). 


EU/Irland 


Bürgerrechtsorganisation: 
Irischer Datenschutz ist 
ungenügend 


Die Bürgerrechtsorganisation Irish 
Council for Civil Liberties (ICCL) hat am 
29.11.2021 eine formelle Beschwerde 
gegen die EU-Kommission bei der Eu- 
ropäischen Bürgerbeauftragten Emily 
O’Reilly eingereicht, in der der Kommis- 
sion vorgeworfen wird, nicht gegen Ir- 
lands Versäumnisse bei der Anwendung 
der Datenschutz-Grundverordnung (DS- 
GVO) vorzugehen. 98% der großen, von 
der irischen Data Protection Commissi- 
on (DPC) betreuten Fälle von EU-weiter 
Bedeutung sind demnach noch immer 
ungelöst, obwohl das Gesetz schon drei- 
einhalb Jahre gelte. 
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Die Behäbigkeit der irischen Daten- 
schutzbehörde habe zur Folge, dass die 
Durchsetzung der EU-Rechtsvorschrif- 
ten gegen große US-Internetkonzerne 
wie Google, Facebook, Microsoft und 
Apple „gelähmt wird“. Die Kommission 
sei als Hüterin der EU-Verträge dafür 
verantwortlich, dass die Mitgliedstaa- 
ten das EU-Recht einhalten. Sie sei so 
auch befugt Mitgliedstaaten andernfalls 
vor dem Europäischen Gerichtshof zu 
verklagen. Die DPC ist die federführende 
Aufsichtsbehörde im Rahmen der DSGVO 
für große Technologieunternehmen, die 
ihren europäischen Hauptsitz in Irland 
haben. Andere Kontrolleure in der EU 
können dann nicht direkt eingreifen. 
Die ICCL kritisiert, dass Irlands Ver- 
säumnis so die gesamte Gemeinschaft 
gefährdet. 

Laut der Beschwerde tut die Kom- 
mission generell zu wenig, um die Ein- 
haltung der DSGVO ordnungsgemäß zu 
überwachen. Sie habe bei den Mitglieds- 
staaten nicht einmal ausreichende 
Informationen erhoben, um ein Urteil 
darüber fällen zu können. Einschlägige 
Statistiken, die der Europäische Daten- 
schutzausschuss (EDSA) als Gremium 
der Kontrollbehörden an die Brüsseler 
Exekutivinstanz weitergeleitet hat, sei- 
en unzureichend. Es bleibe unklar, in 
wie vielen Fällen die einzelnen Daten- 
schutzbeauftragten federführend sei- 
en, wie oft die Behörden von ihren Er- 
mittlungs- oder Sanktionsbefugnissen 
Gebrauch gemacht hätten und wie viele 
Tage von einer Beschwerde bis zu einer 
endgültigen Entscheidung vergingen. 

Die DPC gilt ihren Kritikern bereits 
seit Längerem als Flaschenhals bei der 
DSGVO-Durchsetzung. Auch das EU-Par- 
lament forderte jüngst die Kommission 
auf, deswegen ein Vertragsverletzungs- 
verfahren gegen Irland einzuleiten. 
Johnny Ryan vom ICCL hatte vor Kur- 
zem auf strukturelle Probleme bei der 
unterfinanzierten Behörde aufmerksam 
gemacht. Sie habe zu wenige Online-Er- 
mittler und nutze fürs Beschwerdema- 
nagement noch immer Lotus Notes. Dies 
sei so, als ob man die Gehaltsabrech- 
nung für viele Mitarbeiter mit einem Re- 
chenschieber bewältigen wolle (Krempl, 
Mangelnde DSGVO-Durchsetzung: Be- 
schwerde gegen EU-Kommission einge- 
leitet, www.heise.de 30.11.2021, Kurz- 
link: https://heise.de/-6280112). 
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Österreich 


Datenschutzbehörde: 
Google Analytics verstößt 
gegen EuGH-Vorgaben 


Die Nutzung von Google Analytics auf 
Webseiten in der EU ist nach Ansicht der 
österreichischen Datenschutzbehörde 
(DSB) mit der Datenschutz-Grundver- 
ordnung (DSGVO) nicht vereinbar. Die 
DSB sieht vor allem die allgemeinen 
Grundsätze der Datenübermittlung ge- 
mäß Art. 44 DSGVO verletzt, da mit dem 
Statistikprogramm persönliche Nut- 
zerinformationen an die Google-Kon- 
zernzentrale in den USA weitergegeben 
werden. Mit dem Teilbescheid reagiert 
die DSB auf eine Musterbeschwerde, die 
der vom Juristen und Aktivisten Max 
Schrems gegründete Datenschutzverein 
noyb im August 2020 erhoben hatte. Die 
Eingabe bezog sich zunächst auf einen 
österreichischen Verlag, der Google 
Analytics eingebunden hat. Eine wei- 
tergehende Beschwerde gegen Google 
selbst wies die DSB ab. 

Die DSB meint in ihrem Beschluss, 
der Webseitenbetreiber habe mit dem 
Statistikwerkzeug personenbezogene 
Daten des Beschwerdeführers an Goog- 
le übermittelt. Dazu zählten einzigar- 
tige Nutzer-Identifikationsnummern, 
die IP-Adresse und Browserparameter. 
Googles Standardvertragsklauseln bö- 
ten kein „angemessenes Schutzniveau”, 
um die „Überwachungs- und Zugriffs- 
möglichkeiten durch US-Nachrichten- 
dienste” nach dem Foreign Intelligence 
Surveillance Act (FISA) zu beseitigen. 
Hintergrund der Entscheidung ist das 
„Schrems II”-Urteil des Europäischen 
Gerichtshofs (EuGH) vom Sommer 2020, 
mit dem dieser den transatlantischen 
„Privacy Shield” und damit eine der 
wichtigsten Grundlagen für den Trans- 
fer von Kundendaten in die USA für un- 
gültig erklärte (DANA 3/2020, 199 ff.). 
Die Luxemburger Richter stellten dabei 
fest, dass US-Gesetze wie FISA oder der 
Cloud Act eine Massenüberwachung 
durch Sicherheitsbehörden ermögli- 
chen und der Datenschutzstandard in 
den Vereinigten Staaten nicht dem in 
der EU entspricht. 

Google hatte zuvor eingewandt, im 
Rahmen der Standarddatenschutzklau- 


seln „technische und organisatorische 
Maßnahmen” (TOMs) ergriffen zu haben 
wie Verschlüsselungstechniken, Zäu- 
ne um Datenzentren und die Überprü- 
fung von Behördenanfragen (vgl. DANA 
4/2021, 250 f.). Die DSB bewertete diese 
Maßnahmen aber als weitgehend nutzlos 
gegenüber den Ansprüchen von Geheim- 
diensten wie der NSA oder der Polizeibe- 
hörde FBI. Die EU-Kommission bemühte 
sich in Folge der EuGH-Entscheidung, die 
Standardvertragsklauseln als alternati- 
ves Instrument für Datenübermittlungen 
an die EuGH-Rechtsprechung anzupas- 
sen und veröffentlichte die neue Version 
Anfang Juni 2021. Google implemen- 
tierte diese überarbeiteten Vorgaben im 
September 2021 für die eigenen Cloud- 
Dienste. Das Unternehmen kündigte da- 
bei auch an, stärker auf Verschlüsselung 
setzen zu wollen. 

Schrems hält solche Vorkehrungen 
nicht für ausreichend. Er kritisierte: 
„Anstatt ihre Dienste technisch so an- 
zupassen, dass sie mit der DSGVO kon- 
form sind, haben US-Unternehmen 
versucht einfach ein paar Texte in ihre 
Datenschutzrichtlinien einzufügen und 
den EuGH zu ignorieren. Viele EU-Un- 
ternehmen sind diesem Beispiel gefolgt 
anstatt auflegale Dienste zu wechseln.” 
Die Quintessenz der DSB-Entscheidung 
ist für den noyb-Gründer: „EU-Unter- 
nehmen können keine US-Cloud-Diens- 
te mehr nutzen.” 

Betroffen sieht Schrems die Betreiber 
sehr vieler Webseiten in der EU, da Goog- 
le Analytics noch immer das am weites- 
ten verbreitete Statistikprogramm sei. 
Obwohl es viele Alternativen gebe, die 
in Europa gehostet werden oder auf ei- 
genen Servern laufen können, verließen 
sich noch zu viele Administratoren auf 
den US-Konzern. Insgesamt hat noyb 
101 vergleichbare Beschwerden in fast 
allen EU-Staaten eingereicht. Schrems 
geht daher davon aus, dass ähnliche 
Entscheidungen nun schrittweise auch 
dort fallen werden. Nicht zufrieden ist 
noyb damit, dass die DSB die Beschwer- 
de gegen Google als Datenempfänger 
in den USA zurückgewiesen hat. Man 
prüfe, gegen diesen Teil der Entschei- 
dung vorzugehen. Zugleich habe die 
Aufsichtsbehörde aber erklärt, dass 
das Verfahren gegen Google mit Blick 
auf mögliche Verstöße gegen andere 
Artikel der DSGVO weiterlaufe. Dazu 
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werde es wohl noch eine eigene Ent- 
scheidung geben (Krempl, Österreichs 
Datenschutzbehörde: Google Analytics 
verstößt gegen die DSGVO, www.heise. 
de 13.01.2022, Kurzlink: https://heise. 
de/-6326506). 


Frankreich 


CNIL geht gegen Clearview 
Alvor 


Die französische Datenschutzbe- 
hörde CNIL (Commission Nationale de 
UInformatique et des Libertes) verlangt 
in einem Beschluss von Ende November 
2021 von der aufbiometrische Gesichts- 
erkennung spezialisierten US-Firma 
Clearview AI „die Sammlung und Nut- 
zung von Daten von Personen einzustel- 
len, die sich auf französischem Hoheits- 
gebiet befinden”. Sie sieht für diese um- 
strittene Praxis des Fotoabgleichs keine 
Rechtsgrundlage. Clearview soll es be- 
troffenen französischen Bürgern zudem 
erleichtern ihre Rechte auszuüben. An- 
trägen auf Löschung persönlicher Daten 
sei stattzugeben. 

Die CNIL setzte der New Yorker Firma 
eine Frist von zwei Monaten, um die in 
der Mahnung formulierten Anordnun- 
gen zu befolgen und dies gegenüber der 
Aufsichtsbehörde nachzuweisen. An- 
dernfalls drohten Sanktionen wie „ins- 
besondere eine Geldstrafe”. Die Kontrol- 
leure hatten seit Mai 2020 Beschwerden 
einzelner Personen über die von Clear- 
view entwickelte Gesichtserkennungs- 
software erhalten (vgl. DANA 1/2020, 
68, 2/2020, 125). Ein Jahr später wand- 
te sich auch die Bürgerrechtsorganisa- 
tion Privacy International deswegen an 
sie. Bei den Untersuchungen arbeitete 
die CNIL nach eigenen Angaben mit 
europäischen Kollegen zusammen: Da 
das Unternehmen keinen Sitz in der EU 
habe, seien die nationalen Behörden für 
Maßnahmen in ihrem eigenen Hoheits- 
gebiet zuständig. 

Bei den durchgeführten Ermittlungen 
stellte die CNIL zwei Verstöße gegen die 
Datenschutz-Grundverordnung (DS- 
GVO) fest: Clearview verarbeitet die sen- 
siblen biometrischen Daten demnach 
unrechtmäßig, da die Firma dafür keine 
Einwilligung einhole und auch keine 
andere infrage kommende rechtliche 
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Basis vorliege. Zudem berücksichtige 
das Unternehmen Rechte der Betroffe- 
nen etwa auf Einsicht und zum Löschen 
ihrer Daten nicht zufriedenstellend und 
effizient. 

Clearview extrahiert, so die CNIL, Fo- 
tos aus einer Vielzahl von Webseiten, so- 
zialen Netzwerken und Videos. Auf diese 
Weise habe sich das Unternehmen welt- 
weit über zehn Milliarden Bilder angeeig- 
net. Mithilfe dieser Sammlung vermarkte 
es den Zugang zu seiner Bilddatenbank 
vor allem an Strafverfolger in Form einer 
App, in der eine Person mithilfe eines 
Fotos gesucht werden könne. Die Be- 
troffenen rechneten realistischerweise 
aber nicht damit, dass ihre Bilder in ein 
Gesichtserkennungssystem eingespeist 
werden, „das von Staaten für polizeiliche 
Zwecke genutzt werden kann“. 

In Europa hatte zuletzt die britische 
Datenschutzbehörde ICO angekündigt 
gegen Clearview eine Geldstrafe in 
Höhe von rund 20 Millionen Euro ver- 
hängen zu wollen. Der frühere Ham- 
burgische Datenschutzbeauftragte 
Johannes Caspar war ebenfalls bereits 
gegen die Firma vorgegangen. Kanadi- 
sche Behörden haben Clearview gerade 
untersagt den Dienst in drei Provinzen 
weiter anzubieten und verpflichtet 
alle Bilder und Gesichtsdaten von de- 
ren Einwohnern zu löschen. Clearview 
vertritt den Standpunkt, die Bilder 
und Gesichtsdaten könnten gar nicht 
gelöscht werden, da sie keine Ortsan- 
gaben enthalten, obwohl die Identifi- 
kation der eigentliche Zweck sein soll- 
te (s.u. S. 54, Krempl, Datenschützer: 
Clearview darf Gesichtsbilder von Fran- 
zosen nicht verarbeiten, wwwr.heise. 
de 16.12.2021, Kurzlink: https:// 
heise.de/-6297116; Schräer, Donners- 
tag: Gesichtserkennung in Kanada 
verboten, kein Geld mehr für DJI & Co, 
www.heise.de 16.12.2021, Kurzlink: 
https://heise.de/-6296471). 


Schweiz 


Neue DNA-Ermittlungs- 
kompetenzen 


Die Strafverfolgungsbehörden in 
der Schweiz erhalten mehr Freiheiten 
bei der Erstellung von DNA-Profilen. 
Der Ständerat beschloss im September 


2021, dass die Polizei künftig die mögli- 
che Augen-, Haar- und Hautfarbe sowie 
die „biogeografische Herkunft” von un- 
bekannten Personen aus Tatortspuren 
bestimmen darf (DNA-Phänotypisie- 
rung). Zudem soll in den DNA-Daten- 
banken nach biologischen Verwandten 
von Verdächtigen gesucht werden kön- 
nen. Zuvor hatte der Nationalrat trotz 
Mängeln die Vorlage durchgewunken, 
so dass der Ständerat Anpassungen vor- 
nehmen musste. So soll ein spezifischer 
Deliktkatalog mit schweren Gewaltver- 
brechen die Phänotypisierung und den 
Verwandtschaftssuchlauf beschränken. 
Die kleine Kammer verkürzte zudem die 
Löschfristen bei der Aufbewahrung der 
DNA-Profile und verlangt für bestimm- 
te Fälle einen Gerichtsbescheid (GiD 
Nr. 259 November 2021, 30 £.). 


Italien 


Strafe gegen Apple und 
Google wegen ungenügen- 
der Werbeinformation 


Die italienische Wettbewerbsbehörde 
Autorita garante della concorrenza e del 
mercato (AGCM) teilte am 26.11.2021 
mit, dass sie Strafen in Höhe von jeweils 
10 Mio. Euro gegen Apple und Google 
verhängt hat. Mit ihren Praktiken rund 
um die kommerzielle Verwendung von 
Nutzerdaten verstoßen demnach die 
Konzerne gegen Verbraucherrecht. Es 
handelt sich dabei um die derzeit in Ita- 
lien mögliche Maximalstrafe für solche 
Verstöße. Für Apple ist es bereits die 
zweite Wettbewerbsstrafe in Italien in- 
nerhalb einer Woche. 

Sowohl Apple als auch Google verwen- 
den die Daten ihrer Nutzer für kommer- 
zielle Zwecke. Apple gibt, so die AGCM, 
die Daten zwar nicht an Dritte weiter, 
setzt sie aber selbst zu Werbezwecken 
ein und zieht daraus einen unmittelba- 
ren wirtschaftlichen Vorteil. Der Kon- 
zern schickt etwa Push-Nachrichten 
auf iPhones, um seine Abo-Dienste zu 
bewerben. Beide Konzerne würden die 
Sammlung und Verwendung der Nutzer- 
daten zu Werbezwecken allerdings nicht 
mit „klaren und unmittelbaren Informa- 
tionen” deutlich machen. Beim Anle- 
gen eines Apple- und Google-Accounts 
setzen beide Unternehmen zudem auf 
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„aggressive Praktiken”, um eine Erlaub- 
nis zur kommerziellen Verwendung der 
Nutzerdaten einzuholen - etwa durch 
das Vorankreuzen bestimmter Felder, 
mit denen der Datenverwendung zu- 
gestimmt wird. Beides verstoße gegen 
italienische Verbraucherschutzgesetze. 
Apple und Google haben vor die 
Entscheidung anzufechten. Apple be- 
zeichnete die Einschätzung der Behör- 
de als „falsch“. Man gebe den Nutzern 
Kontrolle darüber, welche Daten sie 
teilen wollen und wozu diese verwen- 
det werden. Auch Google betonte in 
einer Stellungnahme, es würden „klare 
Informationen” über die Verwendung 
der Nutzerdaten bereitgestellt (Becker, 
„Aggressive Praktiken” bei Apple und 
Google: Regulierer verhängen Strafe, 
www.heise.de 26.11.2021, Kurzlink: 
https://heise.de/-6277945). 


Norwegen 


Hohes Bußgeld gegen Grin- 
dr wegen Datenweitergabe 
ohne Einwilligung 


Die norwegische Datenschutzbehör- 
de Norwegian Data Protection Authori- 
ty(NO DPA) hat gemäß einer Mitteilung 
vom 15.12.2021 gegen die Betreiber 
der Mobile-Dating-App für Homosexu- 
elle, Bi-, Trans- und Queer-Menschen 
Grindr ein Bußgeld in Höhe von 65 Mio. 
Norwegische Kronen (ca. 6,5 Millionen 
Euro) verhängt. Demnach hat Grindr 
gegen die Datenschutz-Grundverord- 
nung (DSGVO) zur Einwilligung der Da- 
tennutzung der Anwender verstoßen. 
Grindr habe ohne das Einverständnis 
der App-Nutzer personenbezogene Da- 
ten für verhaltensbezogene Werbung 
an Dritte weitergegeben. Die Betreiber 
der Grindr-App haben es demnach ver- 
säumt von den Anwendern ausdrück- 
lich die Genehmigung zur Weitergabe 
ihrer Daten an Dritte für verhaltens- 
bezogene Werbung einzuholen. Das 
Akzeptieren der allgemeinen Daten- 
schutzbestimmungen in ihrer Gesamt- 
heit durch den Anwender, um die App 
nutzen zu können, reiche dafür nicht 
aus, weil dies einem Zwang einer Ein- 
willigung zur Datenweitergabe gleich- 
komme. Die Weitergabe personenbezo- 
gener Daten seien dem Nutzer deshalb 
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„nicht ordnungsgemäß” mitgeteilt 
worden. Damit hätte Grindr im Zeit- 
raum von Juli 2018 bis April 2020 keine 
gültige Einwilligung nach Maßgabe der 
DSGVO eingeholt. Der aktuelle Zustim- 
mungsmechanismus sei nicht Gegen- 
stand der Untersuchung gewesen. 

2020 hatte die Norwegische Verbrau- 
cherschutzbehörde (Norwegean Con- 
sumer Council) eine Beschwerde gegen 
Grindr eingelegt, nach der Grindr perso- 
nenbezogene Daten zu Marketingzwe- 
cken unrechtmäßig an Dritte weiter- 
gegeben hat. Darunter haben sich GPS- 
Ortsdaten des Nutzers, die IP-Adresse, 
Werbe-ID, das Alter und Geschlecht so- 
wie Informationen, die den Anwender 
als Grindr-Nutzer ausweisen, befunden. 
Nach Ansicht der NO DPA könnten Nut- 
zer anhand dieser Daten identifiziert 
werden und die Daten konnten weiter- 
geben werden. 

Die NO DPA betont, dass diese Daten 
einen Grindr-Nutzer als Angehörigen 
einer sexuellen Minderheit ausweisen 
können. Grindr-Nutzer würden die App 
mitunter anonym nutzen wollen ohne 
etwa den eigenen Namen vollstän- 
dig anzugeben oder ein Foto von sich 
hochzuladen. Informationen, die die 
sexuelle Ausrichtung eines Menschen 
betreffen, unterliegen aber einem be- 
sonderen Schutz. Trotzdem, so Tobias 
Judin, Leiter der NO DPA, wurden diese 
und weitere persönliche Daten an Dritte 
zu Marketingzwecken weitergegeben. 

Die NO DPA sieht in dem Verstoß ei- 
nen besonders schwerwiegenden Fall, 
der ein abschreckendes hohes Bußgeld 
rechtfertigt. Grindr habe die Daten 
von Tausenden norwegischen Nut- 
zenden aus kommerziellem Interesse 
weitergegeben. Ursprünglich sollte die 
Strafe 100 Millionen Norwegische Kro- 
nen betragen. Bei der Verhängung des 
Bußgeldes wurden jedoch die finanzi- 
elle Lage des Unternehmens und der 
Umstand berücksichtigt, dass die be- 
anstandeten Mängel zur Einwilligung 
schnell behoben wurden. Grindr kann 
innerhalb von drei Wochen nach Erhalt 
der Entscheidung widersprechen. Die- 
se Frist könne auch verlängert werden 
(Bünte, DSGVO-Verstoß: Norwegische 
Datenschützer verhängen Millionen- 
strafe gegen Grindr, www.heise.de 
15.12.2021, Kurzlink: https://heise. 
de/-6295438) 


Polen 


Schwangerschaften werden 
zum zu kontrollierenden 
Sicherheitsrisiko 


Polens Staatsanwaltschaft und Ge- 
heimdienste sollen künftig kontrollie- 
ren, ob Polens Frauen schwanger sind, 
sie nach neun Monaten ein Baby zur 
Welt bringen oder aber eine Fehlgeburt 
erleiden. Die dies regelnde Verordnung 
der nationalpopulistischen Regierung 
der Partei Recht und Gerechtigkeit (PiS) 
trat am 01.01.2022 in Kraft. 

Schon bisher haben alle Patienten 
und Patientinnen in Polen eine indi- 
viduelle Patientenkarte im Internet. 
Diese Daten sind - zumindest theo- 
retisch - durch die Schweigepflicht 
der Ärzte geschützt. Doch nun sollen 
zahlreiche persönliche Daten, darun- 
ter auch Schwangerschaften, in einem 
medizinischen Zentralregister erfasst 
werden, auf das Staatsanwaltschaft 
und Geheimdienste jederzeit Zugriff 
hätten. Gemäß dem Senator der libe- 
ralen Bürgerkoalition (KO), Krzysztof 
Brejza, gehen die Änderungen auf die 
Initiative des PiS-Gesundheitsministe- 
riums und des Chefs des Justizministe- 
riums und der Staatsanwaltschaft Zbi- 
gniew Ziobro zurück. Nach der Veröf- 
fentlichung der Pläne brach auf Twitter 
ein Aufruhr los. Sarkastisch kommen- 
tierte die feministische „Bewegung 
der acht Sternchen”: „Super! Und 
wenn ein Paar sich ein Kind wünscht, 
die Frau dann aber eine Fehlgeburt er- 
leidet, muss sie vor dem Staatsanwalt 
erklären, dass sie das Kind wirklich 
wollte.” Eine Userin namens Agata No- 
wak schrieb: „Versteht Ihr, was hier 
passiert? Eure Schwangerschaft wird 
kein intimes Erlebnis zwischen Dir, 
Deinem Partner und dem behandeln- 
den Arzt sein. Der Staatsanwalt erfährt 
sofort davon und alle Beamten, die Zu- 
griff auf das Register haben: Vorname, 
Name, Geburtstermin. Ihr werdet sein 
wie kalbende Kühe.” Zum Schluss star- 
tete sie einen Aufruf: „Auf die Straße, 
Leute!“ Eine Johanna befürchtet, dass 
auch das den Radikalen in der PiS wohl 
nicht weit genug gehen wird: „Dem- 
nächst werden sie noch alle Verhü- 
tungsmittel verbieten!” 
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In Polen gilt eines der strengsten Ab- 
treibungsgesetze Europas. Ende 2020 
urteilte das von der PiS kontrollierte 
Verfassungsgericht Polens, dass ein 
schwer fehlgebildeter oder nicht über- 
lebensfähiger Fötus keine medizinische 
Indikation für eine legale Abtreibung 
darstelle. Dies sei unvereinbar mit Polens 
Verfassung. Den Antrag auf Überprüfung 
des Abtreibungsrechts hatten einige Ab- 
geordnete der regierenden PiS gestellt, 
und dies gegen den klaren Willen der 
Bevölkerungsmehrheit, wie mehrere 
Umfragen zeigten. Seither sind legale 
Abtreibungen nur noch bei einer Gefahr 
für die Gesundheit oder das Leben der 
Schwangeren oder bei Vergewaltigung 
möglich. Die offizielle Statistik müsste 
demnach schon für 2021 auf weit unter 
1.000 legale Abtreibungen fallen, und 
dies bei einer Gesamtbevölkerung von 38 
Mio. Einwohnern. Gynäkologen stehen 
bei Risikogeburten nun vor dem Dilemma 
zu entscheiden, ab wann das Leben des 
Fötus keinen Vorrang mehr vor dem Le- 
ben der Schwangeren hat. So wird von ei- 
nem Fall berichtet, bei dem die Ärzte zu 
lange darauf gewartet hatten, dass keine 
Herztöne des Fötus mehr zu hören waren, 
und erst dann einen Kaiserschnitt einge- 
leitet. Die junge Frau, die bereits Mutter 
eines kleinen Mädchens war, starb an 
einer Blutvergiftung (Lesser, Uterus un- 
ter staatlicher Aufsicht, https://taz.de/ 
Familienpolitik-in-Polen/!5809678/ 
08.12.2021). 


Polen 


Opposition mit Pegasus 
ausgespäht 


Der polnische Ministerpräsident Ma- 
teusz Morawiecki hatte es zunächst als 
„Fake News” bezeichnet, als der Ver- 
dacht aufkam, seine Regierung habe 
politische Gegner mit der Pegasus-Soft- 
ware ausgespäht und so den Ausgang 
der Parlamentswahl im Herbst 2019 
beeinflusst. Dokumente des Obersten 
Rechnungshofs in Polen geben nun 
Hinweise darauf, wie der Ankauf der 
Software im September 2017 im Sejm 
vonstatten ging und wie dies vor den 
Abgeordneten verschleiert wurde. 

Drei Personen sollen ausgespäht wor- 
den sein: die Staatsanwältin Ewa Wrzo- 
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sek, der Anwalt Roman Giertych und der 
Senatsabgeordnete Krzysztof Brejza. 
Letztgenannter hatte 2019 den Wahl- 
kampf der liberalkonservativen Bürger- 
koalition KO geleitet, an deren Spitze 
heute Oppositionsführer Donald Tusk 
steht. Die Abhöraktion während des 
Wahlkampfs zeige, so Brejza, „dass Ein- 
fluss auf das Fundament der Demokra- 
tie genommen wurde”. Tusk sprach von 
„der tiefsten und schwersten Krise der 
Demokratie seit 1989” und zog einen 
Vergleich zur Watergate-Affäre, über die 
US-Präsident Nixon 1972 stürzte. 

Brejza ist sicher, dass die Wahl 2019 
anders ausgegangen wäre, wenn nicht 
sein Smartphone gehackt worden wäre. 
Der PiS-nahe Fernsehsender TVP hat- 
te damals manipulierte SMS von Brejza 
präsentiert und den Eindruck erweckt, 
Brejza koordiniere Hasskampagnen ge- 
gen die politischen Gegner. Nach hefti- 
gen Attacken aufihn gab Brejza den Job 
als Kampagnenleiter auf. In sozialen 
Netzwerken präsentierte Brejza nun Ori- 
ginal und Fälschung der Nachrichten; 
er hatte sich damals nicht erklären kön- 
nen, wie TVP an seine SMS gekommen 
war. Im Oktober 2021 vermutete er, mit 
Pegasus ausgespäht worden zu sein. 
Seine Vermutung bestätigte sich kurz 
vor Weihnachten. 

Gemäß einer Untersuchung des kana- 
dischen Forscherteams Citizen Lab von 
der Universität Toronto wurde Brejzas 
Smartphone 33-mal zwischen April und 
Oktober 2019 angegriffen. Die Software, 
entwickelt von der israelischen NSO 
Group, ermöglicht es Angreifern Nach- 
richten, Fotos, Passwörter und Brow- 
serverläufe abzuschöpfen; sie kann zu- 
dem unbemerkt Kamera und Mikrofon 
auf den Geräten anschalten (vgl. DANA 
4/2021, 239 ff., DANA 3/2021, 187 ff.). 
Das Telefon des Anwalts Giertych, zu 
dessen Mandanten hochrangige Oppo- 
sitionelle gehören, wurde ebenfalls vor 
der Wahl 2019 18-mal angegriffen. 

Das Handy der Staatsanwältin Ewa 
Wrzosek wurde im Sommer 2021 ge- 
hackt. Wrzosek machte sich unbeliebt, 
weil sie im Frühjahr 2020 gegen eine vor- 
gezogene Präsidentschaftswahl vorging. 
Sie engagiert sich gegen die Justizrefor- 
men der Regierungspartei PiS, welche 
laut der EU-Kommission die Rechtsstaat- 
lichkeit in Polen untergraben. Vor allem 
kämpft Wrzosek für die Unabhängigkeit 


der Staatsanwaltschaft. Wegen ihres En- 
gagements wurde Wrzosek bereits einmal 
strafversetzt. In der Hacking-Affäre hat 
sie Anzeige erstattet, allerdings lehnte 
es die Staatsanwaltschaft ab ein Verfah- 
ren einzuleiten. Begründung: Wrzosek 
wolle ihr Mobiltelefon nicht aushändi- 
gen. Den Medien sagte die Juristin, sie 
hätte das Gerät zur Verfügung gestellt, 
sobald Ermittlungen aufgenommen wür- 
den. In früheren Fällen waren Beweismit- 
tel verschwunden. 

Donald Tusk erklärte am 04.01.2022, 
dass seine Partei PO die Einsetzung 
einer Untersuchungskommission be- 
antragen werde, um den Einsatz der 
Pegasus-Software aufzuklären. Regie- 
rungssprecher Piotr Müller erwiderte, er 
sehe für eine solche Kommission keinen 
Grund. Wer Zweifel habe, solle sich an 
die Staatsanwaltschaft wenden. Zuvor 
hatte ein Abgeordneter der Opposition 
einem Zeitungsorgan ein Dokument des 
Rechnungshofes übergeben, durch das 
sich nachvollziehen lässt, wie Pegasus 
für etwa 5,4 Millionen Euro im Jahr 2017 
eingekauft wurde. Demnach wurde die 
Anschaffung für den Geheimdienst ge- 
setzeswidrig aus der falschen Kasse be- 
zahlt. Vor allem aber wurde der Einkauf 
offenbar bewusst vor Abgeordneten und 
Beamten verschleiert. So billigten sie 
ihn ohne von der Verwendung zu wis- 
sen. Der Name des Fonds, über den der 
Einkauf lief: Opferhilfe und Bekämp- 
fung von Kriminalitätsfolgen. 

Derweil wies Jaroslaw Kaczynski, 
Polens Vize-Ministerpräsident, die Be- 
richte zurück und erklärte, es wäre 
schlecht, wenn Polens Geheimdienste 
nicht mit einem Instrument wie Pega- 
sus ausgestattet wären. Aber die „Ge- 
schichten der Opposition, dass Pegasus 
zu politischen Zielen eingesetzt wurde, 
sind völliger Unfug“ (Viktoria Gross- 
mann, Ausgespäht mit Pegasus, SZ 
05./06.01.2022; Kaczynski wehrt sich, 
SZ 08./09.01.2022, 6). 


Polen 


Wettbewerbsbehörde geht 
gegen Apples Tracking- 
Initiative vor 


Die polnische Wettbewerbsbehörde 
Urzad Ochrony Konkurencji i Konsu- 
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mentöw (UOKiK) nimmt Apples Vorga- 
ben zu Werbe-Tracking in Apps unter 
die Lupe und prüft, ob die in iOS inte- 
grierte Funktion auf ein „Eliminieren 
von Konkurrenten im Markt für per- 
sonalisierte Werbung” ausgelegt ist. 
Die Untersuchung soll klären, ob ein 
Missbrauch von Marktmacht zum Aus- 
schluss von Wettbewerb vorliegt. 

iPhone-Apps müssen seit i0S 14.5 
für ein Anbieter-übergreifendes 
Werbe-Tracking beim Nutzer erst um 
Erlaubnis fragen. Nur dann gibt das 
Betriebssystem den Zugriff auf die 
integrierte Werbe-ID frei, die so auch 
das Anlegen von Profilen und das Be- 
obachten von Aktivitäten über Apps 
hinweg ermöglicht. Apples Regeln für 
App-Anbieter haben deren Möglich- 
keiten zum Sammeln von Daten für 
personalisierte Werbung erheblich re- 
duziert, so die Regulierungsbehörde. 
Dabei geht es vor allem um die Frage, 
ob Apple dadurch zugleich das eigene 
Werbegeschäft gestärkt hat. 

Apples Tracking-Transparenz-In- 
itiative ist in der Werbebranche auf 
erheblichen Widerstand gestoßen. 
Besonders Werberiesen wie Facebook, 
deren Tracking-Technik auf der Werbe- 
ID aufbaute, sahen eine Beeinträchti- 
gung ihres Geschäftes. Schätzungen 
zufolge haben Social-Media-Plattfor- 
men Werbeumsätze in Milliardenhöhe 
durch die Tracking-Nachfrage in i0S 
verloren. Auch erste werbende Unter- 
nehmen haben in den letzten Wochen 
beklagt, die Neukundengewinnung 
auf iPhones sei schwieriger und kost- 
spieliger geworden. 

Auch in Frankreich hatten Werbe- 
verbände eine Kartellbeschwerde ge- 
gen die Apple-Initiative eingereicht. 
Es handele sich dabei aber um „keine 
missbräuchliche Handelspraktik“, ent- 
schied die Autorit& de la Concurrence 
im Frühjahr 2021. Man wolle dies aber 


Jetzt DVD-Mitglied werden: 


weiter untersuchen, um sicherzustel- 
len, dass es zu keiner Selbstbevorzu- 
gung kommt. Bemängelt wurde unter 
anderem, dass Apple bei seinem eige- 
nen Werbedienst auf ein Opt-in ver- 
zichtet; inzwischen wird dafür aber 
um Erlaubnis gebeten (Becker, Daten- 
schutz gegen Wettbewerb: Polnische 
Requlierer prüfen Apple, www.heise.de 
13.12.2021, Kurzlink: https://heise. 
de/-6293881). 


Großbritannien 


Sammelklage gegen Meta 
geplant 


Die Wettbewerbsexpertin Liza Lov- 
dahl-Gormsen vom British Institute of 
International and Comparative Law teil- 
te mit, dass sie in Zusammenarbeit mit 
Anwälten eines Klagefonds für 44 Milli- 
onen Nutzerinnen und Nutzer über eine 
Sammelklage gegen die dortige Nieder- 
lassung von Facebooks Muttergesell- 
schaft Meta Schadenersatzforderungen 
erstreiten möchte; insgesamt könnten 
nach ihrer Ansicht die Forderungen bis 
zu einer Höhe von 2,756 Milliarden Euro 
gehen. Das Unternehmen habe seine 
„marktbeherrschende Stellung miss- 
braucht“, um den britischen Nutzern 
Bedingungen für die Nutzung persönli- 
cher Daten zu diktieren. Mit den im Zeit- 
raum von 2015 bis 2019 gesammelten 
Daten habe Facebook ein detailliertes 
Bild der Internetnutzung der Betroffe- 
nen erhalten und „übermäßige Gewin- 
ne“ erzielt. 

Lovdahl-Gormsen bemängelt dabei 
unter anderem „Facebook Pixel” - Ja- 
vaScript-Code für Webseitenbesitzer, 
mit dessen Hilfe sich das Nutzungs- 
verhalten der Seitenbesucher tracken 
lässt. Jeder, der in Großbritannien lebt 
und Facebook im besagten Zeitraum 
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mindestens einmal genutzt habe, kann 
nach Ansicht von Lovdahl-Gormsen 
Schadenersatz von Facebook fordern. 

Für den Erfolg der gemeinsam mit ei- 
ner erfahrenen britischen Anwaltskanz- 
lei geplanten Sammelklage gibt es keine 
Garantie. Der Londoner Supreme Court 
hatte im November 2021 bereits eine 
Klage gegen Google zurückgewiesen. 
In dem Fall wurde Google beschuldigt 
Millionen iPhones illegal überwacht 
zu haben. Eine weitere Sammelklage 
gegen Google von einem britischen 
Verband für das Umgehen der Cookie- 
Sperre von Apples Safari-Browser wurde 
2018 ebenfalls zurückgewiesen (Koch, 
Datenschutz: Facebook droht Sammel- 
klage in Großbritannien, www.heise.de 
14.01.2022, Kurzlink: https://heise. 
de/-6327433). 


Großbritannien 


Weiter Gerichtsstreit um 
Datenbeschaffung durch 
„The Sun” 


Im August 2005 rief Rebekah Brooks, 
die damalige Chefin der britischen Bou- 
levardzeitung „Ihe Sun“, den Agen- 
ten der Schauspielerin Sienna Millers 
an und fragte, ob man sich mit ihr mal 
über deren Schwangerschaft unterhal- 
ten könne. Zu diesem Zeitpunkt hatte 
Miller noch nicht einmal ihrer Familie 
oder ihren engsten Freunden von be- 
sagter Schwangerschaft erzählt. Vor 
dem Londoner High Court wirft nun Mil- 
ler „The Sun“ vor, die Zeitung habe sie 
so gezwungen, Entscheidungen „über 
meinen eigenen Körper zu treffen, mit 
denen ich jeden Tag leben muss“. 

Miller hatte nach einem Vergleich 
mit Rupert Murdochs Firma „News 
Group Newspapers”, die „The Sun“ he- 
rausgibt, eine erhebliche finanzielle 
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Abfindung akzeptiert. Der High Court 
entschied nun nach einem Einspruch 
von Murdochs Anwälten über die ge- 
naue Formulierung des Statements, 
das Miller und ihr Anwaltsteam nach 
dem Vergleich veröffentlichen wollten, 
also auch darüber, welche Vorwürfe 
die Schauspielerin explizit wiederho- 
len darf. 

Miller wirft dem Journalisten Nick 
Parker, der weiterhin für „The Sun“ ar- 
beitet, vor ihre privaten Krankenakten 
über eine Mittelsfrau illegal an sich 
gebracht und so von ihrer Schwanger- 
schaft erfahren zu haben. Parker be- 
streitet das. Miller wiederholte zudem, 
sie seiüberzeugt, dassihre Freunde und 
Familie „dem anhaltenden, umfang- 
reichen und gezielten Abfangen von 
Voicemails und rechtswidrigen Infor- 
mationsbeschaffungsaktivitäten durch 
Journalisten der Sun” ausgesetzt wa- 
ren. Laut Miller, die das Baby letztlich 
nicht bekam, sei ihr versichert worden, 
dass die Zeitung diese Informationen 
über ihre Schwangerschaft nicht pub- 
lizieren werde. Letztlich seien sie aber 
dennoch abgedruckt worden. Ihr Leben 
sei dadurch fast ruiniert worden. Das sei 
so weit gegangen, dass sie ihrer Familie 
und Freunden vorgeworfen habe Infor- 
mationen an „Ihe Sun” verkauft zu ha- 
ben. Die Zeitung streitet die Vorwürfe 
ab und versuchte Miller mit juristischen 
Mitteln daran zu hindern, sie zu wieder- 
holen. Das Gericht entschied aber, dass 
Miller das zumindest teilweise darf. 

Dies ist auch nicht der erste juristi- 
sche Konflikt zwischen Sienna Miller 
und einer Murdoch-Zeitung. 2011 er- 
hielt sie im Rahmen der Untersuchun- 
gen zum Abhörskandal um die mitt- 
lerweile eingestellte Sonntagszeitung 
„News of the World“ vom High Court 
Schmerzensgeld in Höhe von 100.000 
Pfund zugesprochen. Die „News of the 
World” mussten damals zugeben illegal 
ihr Telefon gehackt zu haben. 

Im aktuellen Fall haben News Group 
Newspapers allerdings keinerlei Schuld 
eingestanden. Die Linie des Medie- 
nunternehmens lautet, während der 
2000er-Jahre, als Rebekah Brooks Chef- 
redakteurin der „News of the World” 
war, sei Telefon-Hacking dort zwar 
weit verbreitet gewesen, nach Brooks’ 
Wechsel zum Schwesterblatt „Sun“ 2003 
hätten dort jedoch keine illegalen Ak- 
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tivitäten stattgefunden. Dessen unge- 
achtet zahlte das Unternehmen immer 
wieder hohe Summen an Personen, die 
der „Sun“ rechtswidrige Informations- 
beschaffung vorwarfen. Dazu gehör- 
ten der Fußballer Paul Gascoigne, der 
ebenfalls Mitte Dezember 2021 einem 
Vergleich mit der „Sun“ zustimmte. Laut 
Gascoigne hatte die Veröffentlichung 
persönlicher medizinischer Informati- 
onen „verheerende und schwächende 
Auswirkungen“ auf seine psychische 
Gesundheit und sein Wohlbefinden. 
Miller hat nach eigenen Aussagen 
dem Vergleich zugestimmt, weil ihr 
die finanziellen Mittel fehlen, um ein 
Gerichtsverfahren gegen das Murdoch- 
Imperium anzustrengen. Sie sei jedoch 
bereit in jedem zukünftigen Verfahren 
gegen die „Sun“ gerne auszusagen: „In 
diesem Verfahren habe ich aus erster 
Hand erfahren, wie weit diese Zeitung 
und dieses Unternehmen gehen, umihre 
Spitzenkräfte vor Entlarvung zu schüt- 
zen und davor, die Konsequenzen ihres 
Handelns zu spüren zu bekommen.” 
Die Aufmerksamkeit wendet sich nach 
diesem Vergleich Prinz Harry zu. Dieser 
wirft der „Sun“ vor das Telefon seiner 
Frau Meghan Markle abgehört zu haben. 
Im Gegensatz zu Sienna Miller hätten der 
Herzog von Sussex und seine Frau die 
nötigen Mittel für ein Gerichtsverfahren 
(vgl. DANA 2/2011, 88 f., 1/2012, 29 £.; 
4/2015, 184, 1/2018, 48, Menden, Wie 
erfuhr die „Sun“ von Sienna Millers 
Schwangerschaft? SZ 13.12.2021, 19, 
https://www.sueddeutsche.de/ 
medien/sienna-miller-sun-1.5485415). 


Türkei 


Gericht hebt Filmverbot bei 
Polizeieinsätzen auf 


Die türkische Polizei ist mit dem Ver- 
such gescheitert Videoaufnahmen von 
ihren Einsätzen bei Demonstrationen 
zu verbieten. Das Oberste Verwaltungs- 
gericht erklärte eine entsprechende 
Anordnung der Polizeidirektion für 
nichtig. Die Ende April 2021 publik ge- 
wordene Anordnung sah vor, dass Ton- 
und Bildaufnahmen von Einsatzkräften 
bei Demonstrationen unterbunden wer- 
den sollen. Mehrere Anwaltskammern 
hatten Beschwerde eingelegt. In der Ge- 


richtsentscheidung wurde nun zur Be- 
gründung genannt, dass die Anordnung 
die Pressefreiheit einschränke und 
gegen die Verfassung verstoße. Grund- 
freiheiten könnten allenfalls per Gesetz 
eingeschränkt werden, nicht aber von 
der Polizei. Innenminister Süleyman 
Soylu hatte die Anweisung verteidigt: 
„Hier liegt weder ein Verstoß gegen die 
Verfassung noch gegen die Demokratie 
vor“ (Filmverbot von Polizei aufgeho- 
ben, www.jungewelt.de 13.11.2021; 
Kein Filmverbot für Polizeieinsätze, Kie- 
ler Nachrichten, 15.11.2021, 7). 


Israel 


Späh-Software-Export- 
beschränkungen nach 
„Pegasus”-Berichten 


Das Verteidigungsministerium Israels 
teilte mit, dass das Land die Vorschrif- 
ten für den Export von Cybertechnolo- 
gie verschärft hat, um sicherzustellen, 
dass zum Beispiel bestimmte Spionage- 
software tatsächlich nur noch zur Ver- 
hinderung von Terrorakten und schwe- 
ren Straftaten eingesetzt wird. Israels 
Regierung reagiert damit offensicht- 
lich auf die Recherchen des „Pegasus- 
Projekts”, bei dem ein internationales 
Journalistenkonsortium einen weit ver- 
breiteten Missbrauch der Spähsoftware 
des israelischen Unternehmens NSO 
aufgedeckt hatte. Hunderte Aktivisten, 
Journalisten und Politiker bis hinauf zu 
Frankreichs Präsident Emmanuel Mac- 
ron waren dabei offenbar zum Ziel du- 
bioser Abhörmanöver geworden (DANA 
3/2021, 187 f, 4/2021, 239 ff.). 

Israels Regierung, die den Export 
solcher Cybertechnologie in jedem ein- 
zelnen Fall genehmigen muss, war nach 
den Veröffentlichungen im Sommer 
2021 unter erheblichen Druck geraten. 
Verteidigungsminister Benny Gantz 
hatte bei einem Besuch in Frankreich 
Rede und Antwort zur Abhör-Affäre ste- 
hen müssen. Bundeskanzlerin Angela 
Merkel sprach sich für eine Verkaufs- 
beschränkung solcher Spähsoftware 
aus. Das US-Handelsministerium setzte 
schließlich das Unternehmen NSO auf 
eine Sanktionsliste. Zuletzt war Anfang 
Dezember 2021 bekannt geworden, dass 
auch Mitarbeiter des US-Außenministe- 
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riums in Afrika zum Opfer der Pegasus- 
Software geworden waren. 

Die neuen israelischen Export-Richt- 
linien, die von einem Team des Vertei- 
digungs- und des Außenministeriums 
gemeinsam formuliert worden sind, 
geben nun konkreter vor, wo solche Cy- 
bertechnologie eingesetzt werden darf: 
„Die Definitionen für schwere Straf- 
taten und terroristische Handlungen 
wurden verschärft, um zu verhindern, 
dass die Grenzen in diesem Zusammen- 
hang verwischt werden.” Ausdrücklich 
festgehalten wird, dass „Meinungsäu- 
ßerungen oder Kritik“ nicht in die Ka- 
tegorien Terror- oder Straftaten fallen. 
Verboten wird der Einsatz solcher Späh- 
Programme gegen einzelne Personen 
oder Gruppen aufgrund ihrer Religion, 
ihrer sexuellen Orientierung, ihrer eth- 
nischen Zugehörigkeit oder ihrer poli- 
tischen Einstellung. Alle Staaten, die 
israelische Cybertechnologie erwerben 
wollen, müssen eine entsprechende Er- 
klärung unterzeichnen. Wer die Vorga- 
ben missachtet, dem soll die Lizenz zur 
Nutzung entzogen werden. 

Zuvor hatte bereits ein israelisches 
Wirtschaftsmagazin berichtet, dass die 
Liste der Länder, in die israelische Cy- 
bertechnologie exportiert werden darf, 
von 102 auf 37 Staaten reduziert wor- 
den sei. Auf der Liste sollen sich dem 
Bericht zufolge vor allem noch westeu- 
ropäische Länder sowie die USA und Ka- 
nada befinden, aber nicht mehr Staaten 
wie Ungarn, die Vereinigten Arabischen 
Emirate, Saudi-Arabien oder Marokko, 
in denen nach Recherchen des Pega- 
sus-Projekts grober Missbrauch mit der 
Spähsoftware getrieben wurde. Zumin- 
dest in der Vergangenheit hatte Israels 
Regierung den Verkauf von Cybertech- 
nologie gezielt auch als diplomatischen 
Türöffner genutzt. So gab es vorab Ex- 
portgenehmigungen in jene arabischen 
Staaten, mit denen später im Abraham- 
Abkommen eine Normalisierung der Be- 
ziehungen vereinbart wurde. 

Der Jerusalemer Menschenrechtsan- 
walt Eitay Mack, der seit vielen Jahren 
die israelische Exportpraxis in diesem 
Bereich kritisiert, hält jedoch auch die 
neuen Regelungen für wenig hilfreich. 
Er vermutet einen „Bluff” und eine „PR- 
Show“, mit der allein dem internatio- 
nalen Druck nach der Aufregung über 
die Pegasus-Recherchen ausgewichen 
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werden soll: „Mit dem neuen Formular 
unterschreibt ein Diktator, dass er kein 
Diktator ist.” Ob ein Menschenrecht- 
ler oder ein Journalist eine Bedrohung 
darstellt, könnten solche Regime auch 
unter den neuen Vorgaben auf ihre Wei- 
se definieren. 

Die Kritik an Pegasus dürfte Auswir- 
kungen auf die Geschäfte der NSO-Group 
haben: Pegasus ist bisher der größte Ge- 
schäftsbereich des Unternehmens und 
steht laut Presseberichten für etwa die 
Hälfte des Umsatzes, der für 2021 mit 
rund 230 Mio. US-Dollar beziffert wird. 

Derweil denkt die NSO Group Medien- 
berichten zufolge - unter Berufung 
auf Verhandlungskreise - über einen 
Verkauf nach und spricht offenbar mit 
möglichen Investoren. Dabeistehe auch 
eine Neuaufstellung des Unternehmens 
zur Diskussion. Die finanzielle Situation 
des Unternehmens scheint angespannt 
zu sein. Die Mitgründer Shalev Hulio 
und Omri Lavie hatten die Mehrheits- 
anteile an der Firma 2019 vom Investor 
Francisco Partners zurückgekauft. Die 
NSO Group wurde dabei mit rund einer 
Milliarde US-Dollar bewertet. Zur Finan- 
zierung hatten die Gründer Schulden in 
Höhe von mehreren hundert Millionen 
US-Dollar aufgenommen. Mit Invest- 
mentfonds werde eine Refinanzierung 
erörtert, aber auch ein Verkauf und 
eine Restrukturierung stehen im Raum. 
Dabei könnte die Entwicklung von Pe- 
gasus eingestellt und NSO auf Cyberab- 
wehrsysteme und Drohnentechnologie 
ausgerichtet werden. Das Unternehmen 
und die beteiligten Finanzhäuser kom- 
mentierten die Berichte nicht (Münch, 
Export von Späh-Software erschwert, SZ 
08.12.2021, 9; Briegleb, Spyware: Aus- 
verkauf bei NSO Group - das Ende von 
Pegasus? www.heise.de 14.12.2021, 
Kurzlink: https://heise.de/-6294818). 


Israel 


Pegasus-Einsatz gegen 
Palästinenser-NGOs? 


Sicherheitsforscher von Amnesty In- 
ternational (AI) haben die umstrittene 
Malware Pegasus auf Handys von sechs 
palästinensischen Menschenrechtlern 
aus Nichtregierungsorganisationen 
(NGOs) gefunden. Gemäß der Menschen- 


rechtsorganisation AI und dem „Citizen 
Lab“ der Universität von Toronto stehen 
die betroffenen Aktivisten teils in Ver- 
bindung mit palästinensischen Men- 
schenrechtsgruppen, die Israelin einem 
umstrittenen Schritt jüngst zu Terroror- 
ganisationen erklärt hatte. Es handelt 
sich um die ersten bekannten Fälle von 
Nachweisen der Spähsoftware der NSO 
Group mit Sitz in Tel Aviv bei palästinen- 
sischen Aktivisten. 

Zuvor war bekannt geworden, dass vor 
allem autoritäre Regierungen die Über- 
wachungssoftware im großen Stil gegen 
Kritiker, Oppositionelle und Journalis- 
ten einsetzten (DANA 3/2021, 187 ff.). 
Das Programm setzt sich in Smartpho- 
nes fest und sammelt Orts- und persön- 
liche Daten der Smartphone-Nutzer. Es 
kann auch auf Mikrofone und Kameras 
von Mobiltelefonen zugreifen. 

Mohammed Maskati von der Non- 
Profit-Organisation Frontline Defenders 
meinte, es sei zunächst unklar, wer die 
Telefone der palästinensischen Aktivis- 
ten infiltriert habe. Die Gruppe mit Sitz 
in Irland und mindestens zwei der Be- 
troffenen sagten, sie vermuteten, dass 
der Staat Israel dahinterstecke. 

Kurz nach dem Nachweis der ersten 
zwei Infiltrationen Mitte Oktober 2021 
hatte der israelische Verteidigungsmi- 
nister Benny Gantz sechs Organisatio- 
nen der palästinensischen Zivilgesell- 
schaft zu Terrororganisationen erklärt. 
Israel hat bislang kaum Belege er- 
bracht, um die angeblichen Verbindun- 
gen der Menschenrechtsgruppen zum 
Terrorismus nachzuweisen. UN-Men- 
schenrechts-Kommissarin Michelle Ba- 
chelet sprach von einer „willkürlichen 
Entscheidung“, AI und Human Rights 
Watch von einem „erschreckenden und 
unrechtmäßigen Akt“, linke israelische 
Gruppierungen gar vom „Handeln totali- 
tärer Regime”. Das Büro desisraelischen 
Premierministers und das israelische 
Verteidigungsministerium bestritten 
die Pegasus-Software derart eingesetzt 
zu haben. 

Mit der Einstufung von sechs Nicht- 
regierungsorganisationen als Terror- 
gruppen hat Israels Regierung mitten 
hinein gezielt ins Zentrum der palästi- 
nensischen Zivilgesellschaft und sich 
damit zugleich dem Vorwurf ausgesetzt 
unbequeme Kritiker der Besatzungspo- 
litik zum Schweigen bringen zu wollen. 
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Alle diese Organisation, die teils Geld 
auch aus europäischen Staaten, von der 
EU oder von deutschen Stiftungen be- 
kommen, stehen seit Langem schon im 
Fokus der israelischen Behörden. Ihre 
Büros waren teils wiederholt Ziel von 
Durchsuchungen durch die Armee. Der 
pauschale Vorwurf, als „organisiertes 
Netzwerk“ und Finanzierungsquelle der 
marxistischen Volksfront für die Befrei- 
ung Palästinas (PFLP) zu operieren, kam 
dennoch überraschend und wird von 
allen aufgelisteten Organisation heftig 
dementiert. Mit einer speziellen Anord- 
nung kann Israels Armee sofort gegen 
die Organisationen im Westjordanland 
vorgehen und zum Beispiel ihre Büros 
schließen und Beschäftigte verhaften. 

Das Thema führte auch zu Zoff inner- 
halb der israelischen Regierung. Meretz 
und Arbeitspartei, die beiden linken 
Parteien in der gegenwärtig regieren- 
den heterogenen Acht-Parteien-Koaliti- 
on, übten heftige Kritik und verlangten 
die Vorlage von Beweisen für den Ter- 
rorvorwurf. 

Die prominenteste NGO auf der israe- 
lischen Terrorliste ist die seit 1979 ak- 
tive NGO Al-Haq unter ihrem Direktor 
Shawan Jabarin, der in den Achtziger- 
und Neunzigerjahren mehrfach wegen 
des Vorwurfs von PFLP-Aktivitäten in 
israelischer Haft saß. Den besonderen 
Ärger der israelischen Führung hatte 
sich Al-Haq mit einer Dokumentation 
mutmaßlicher israelischer Verbrechen 
eingehandelt, die dem Internationalen 
Strafgerichtshof in Den Haag (ICC) vor- 
gelegt wurde. Der ICC ermittelt inzwi- 
schen wegen möglicher Kriegsverbre- 
chen gegen Israel und die palästinen- 
sische Hamas. Al-Haq prangert jedoch 
nicht nur Menschenrechtsverletzungen 
der israelischen Besatzungsmacht an, 
sondern legt sich immer wieder mit der 
zunehmend autoritären Palästinensi- 
schen Autonomiebehörde von Präsident 
Mahmud Abbas an. 

Seit drei Jahrzehnten aktiv und inter- 
national vernetzt ist auch die Organisa- 
tion Addameer, die Rechtshilfe für pa- 
lästinensische Häftlinge in israelischen 
Gefängnissen anbietet. Speziell um 
palästinensische Kinder in israelischer 
Haft sowie allgemein um die Auswirkun- 
gen der Besatzung auf die Rechte von 
Kindern kümmert sich die palästinen- 
sische Sektion von Defense for Children 
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International (DCI-P). Das Hauptquar- 
tier der Organisation liegt in Genf. Auf- 
gelistet wurden von Israels Regierung 
zudem noch das sozial engagierte Bisan 
Center sowie zwei Organisationen, die 
sich eigenen Angaben zufolge für Frau- 
enrechte (Union of Palestinian Women’s 
Committees) und für die Stärkung 
der palästinensischen Landwirtschaft 
(Union of Agricultural Work Commit- 
tees) einsetzen. 

Zum Beleg der angeblichen Terror- 
aktivitäten verweist Israel auf geheim- 
dienstliche Erkenntnisse. Öffentlich 
wurden jedoch keinerlei Beweise vor- 
gelegt. Auch die Dokumente, die den 
Partnern in den USA und in der Europä- 
ischen Union hinter den Kulissen vor- 
gelegt wurden scheinen bislang wenig 
Überzeugungskraft zu haben. „Mehr 
Informationen” hatte ein Sprecher des 
US-Außenministeriums bereits unmit- 
telbar nach der israelischen Bekannt- 
machung vom 22.10.2021 verlangt. Ein 
EU-Sprecher verwies umgehend darauf, 
dass bereits in der Vergangenheit isra- 
elische Vorwürfe über den Missbrauch 
von EU-Geldern durch palästinensische 
Organisationen „nicht fundiert” gewe- 
sen seien. Damit bezog er sich offenkun- 
dig auf ein vom israelischen Inlandsge- 
heimdienst Schin Bet zusammengestell- 
tes 74-seitiges Dossier, das bereits im 
Mai 2021 an westliche Partner geschickt 
worden war. Der einhellige Befund: kei- 
ne harten Beweise. 

Kurz vor der Offenlegung dieser Pega- 
sus-Infektion hatte die US-Regierung 
Joe Bidens gegen die NSO Group und 
die ebenfalls israelische Firma Candi- 
ru Exportbeschränkungen verhängt. 
Das US-Handelsministerium teilte mit, 
sie würden in die Liste der Unterneh- 
men aufgenommen, deren Zugang zu 
US-Komponenten und US-Technologie 
eingeschränkt ist und die staatliche 
Genehmigungen für den Export benö- 
tigen. Die NSO Group und drei weitere 
Unternehmen, die nun ebenfalls auf der 
Sanktionsliste stehen, hätten Werkzeu- 
ge zur Verfügung gestellt, um länderü- 
bergreifende Repressionen umzusetzen 
(s.u.5.53). 

Auf die Vorwürfe hinsichtlich der Be- 
schattung der palästinensischen Akti- 
visten angesprochen, erwiderte die NSO 
Group in einer Mitteilung, das Unter- 
nehmen identifiziere seine Kunden aus 


vertraglichen Gründen und zur Wahrung 
nationaler Sicherheitsinteressen nicht. 
Informationen, wer mit den Program- 
men der Firma gehackt werde, erhalte 
das Unternehmen nicht, es verkaufe 
diese aber nur an Regierungsbehörden 
für die Nutzung gegen „ernste Krimi- 
nalität und Terrorismus” (Spähsoftware 
Pegasus bei palästinensischen Aktivis- 
ten entdeckt, www.zeit.de 08.11.2021; 
Münch/Obermaier/Obermeyer, Pega- 
sus-Einsatz gegen Palästinenser, SZ 
09.11.2021, 6) 


Israel 


Ultraorthodoxe Rabbiner 
verteidigen „koschere 
Handys” 


Sittenstrenge ultraorthodoxe Rab- 
biner haben schon manchen Feldzug 
gegen das Smartphone geführt - mit 
Worten oder gar mit dem Hammer, der 
z.B. direkt auf ein böses iPhone nie- 
dersauste. Der frommen Gefolgschaft 
sind nur „koschere Handys” erlaubt, 
ohne Zugang zum Internet, das als Ort 
der Sünde gilt. Über die Einhaltung der 
Regeln wacht ein eigens geschaffenes 
„Rabbinisches Komitee für Kommunika- 
tionsangelegenheit”. Zwischen Israels 
Regierung und den Religionsführern 
hat sich nun deswegen eine heftige Aus- 
einandersetzung entwickelt. Der Kampf 
ums koschere Handy ist voll entbrannt, 
weil Kommunikationsminister Yoaz 
Hendel eine weitere Deregulierung des 
Mobilfunkmarkts plant. Seit 2007 kön- 
nen Israelis beim Wechsel des Anbieters 
ihre alte Telefonnummer mitnehmen. 
Ausgenommen davon sind bislang die 
Besitzer der geschätzt rund 500.000 ko- 
scheren Mobiltelefone, die über beson- 
dere Nummern verfügen. Diese Ausnah- 
me soll nun gestrichen werden, was für 
die Rabbiner Kontrollverlust bedeutet. 

Die Aufsicht des Rabbiner-Komitees 
über die Handys geht weit über die Ver- 
hinderung des Internetzugangs hinaus. 
Geblockt wird zum Beispiel eine lange 
Liste von Telefonnummern. Für reich- 
lich Kritik sorgte dabei immer wieder, 
dass darunter nicht nur Sexanbieter 
sind, sondern auch Informationsstel- 
len der Regierung, Notrufnummern für 
Opfer von sexueller Gewalt oder Bera- 
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tungsstellen für diejenigen, die aus der 
ultraorthodoxen Gemeinschaft ausstei- 
gen wollen. 

Über das koschere Handy lässt sich 
also steuern, mit wem die Nutzenden 
kommunizieren und welche Informa- 
tion sie erreichen. Die Telefonnummer 
ist dabei zu einem Ausweis der from- 
men Gefolgschaft geworden. Dies fällt 
weg, wenn die Nummern künftig bei 
einem Anbieterwechsel unkontrolliert 
auch für Smartphones genutzt wer- 
den können. In einem offenen Brief 
haben daher der sephardische und der 
aschkenasische Chefrabbiner Anfang 
Januar 2022 die geplante Reform als 
„große Gefahr” verdammt, die zu einer 
„spirituellen Zerstörung“ führen kön- 
ne. Ein Rabbiner, der sich mit anderen 
darüber mit dem zuständigen Minister 
Hendel austauschte, meinte gar: „Aus 
unserer Sicht ist das schlimmer als der 
Holocaust. Jemanden zur Sünde zu ver- 
leiten, ist schlimmer, als ihn zu töten.” 

Die ultraorthodoxen Autoritäten be- 
fürchten, von der Regierung ins Abseits 
gestellt zu werden. Seit langer Zeit sind 
in der seit Juni 2021 regierenden Koa- 
lition erstmals keine religiösen Parteien 
vertreten, und auch in anderen Berei- 
chen-beiderKonversionzumJudentum 
oder bei der Zuständigkeit für Koscher- 
Zertifikate - sind bereits Reformen auf 
den Weg gebracht worden. Die Rabbiner 
sind in Sachen Internet aber längst auf 
verlorenem Posten: Gemäß einer jüngst 
veröffentlichten Studie sind bereits zwei 
Drittel aller Ultraorthodoxen in Israel 
online. Knapp die Hälfte davon nutzt 
dafür ein Handy. Manch einer nämlich 
besitzt zwei davon: eins zum Vorzeigen, 
eins zum Surfen (Münch, Surfen verbo- 
ten, SZ 09.01.2022, 1). 


Israel 


Militär erstellt und nutzt 
Palästinenser-Bilddaten- 
bank 


Das israelische Militär hat Bewohner 
des Westjordanlandes offenbar systema- 
tisch fotografieren lassen, um eine Bil- 
derdatenbank zu erstellen. Ex-Soldaten 
berichteten, die Datenbank mit dem in- 
ternen Namen „Blauer Wolf” diene der 
Feststellung der Identität von Palästi- 
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nensern, ohne dass diese sich auswei- 
sen. Dafür glichen Sicherheitskameras 
ihre Aufnahmen mit der Datenbank ab. 
Wurde ein Palästinenser erkannt, der 
zur Fahndung ausgeschrieben war, be- 
kamen Soldaten eine Benachrichtigung. 
Die Armee wollte die Nutzung des Über- 
wachungsprogramms weder bestätigen 
noch dementieren. Man führe im Rah- 
men der Terrorismusbekämpfung „Rou- 
tine-Sicherheitsoperationen” durch. Die 
betroffenen Palästinenser beklagen eine 
immer stärkere Überwachung und den 
Verlust ihrer Privatsphäre. 

Ein Bewohner der 215.000-Einwoh- 
ner-Stadt Hebron im Westjordanland er- 
klärte, er lasse seine Kinder nicht mehr 
vor derTür spielen, um sie dem Blick der 
vielen Sicherheitskameras zu entzie- 
hen. Hebronist geteilt - ein Teilwird von 
Israel kontrolliert, der andere von der 
palästinensischen Autonomiebehörde. 
Seit Jahrzehnten gibt es Spannungen, 
weshalb Hebron besonders observiert 
wird. Die ehemaligen Armeeangehöri- 
gen, die das Überwachungsprogramm 
publik machten, hatten sich zuerst an 
die Organisation „Breaking the Silence” 
gewandt. Die Gruppe besteht aus Ex- 
Militärs, die sich dafür einsetzen, dass 
Israel das Westjordanland aufgibt, das 
seit Jahrzehnten teilweise besetzt ist 
(„Facebook für Palästinenser”, Der Spie- 
gelNr. 46 13.11.2021, 81). 


Saudi-Arabien 


Öffentlicher Pranger als 
Strafe wegen sexueller Be- 
lästigung 


Yasser Muslim Mohammed al-Arawi 
ist der erste Mann in Saudi-Arabien, der 
für die Belästigung einer Frau in Me- 
dina öffentlich angeprangert wird. Die 
saudische Justiz hat in seinem Fall die 
„Jaschhir”-Praxis (öffentliche Anprange- 
rung) angewendet. Al-Arawis kompletter 
Name, aus dem der Stammbaum abgele- 
sen werden kann, wurde in der lokalen 
Presse veröffentlicht. In einem Land wie 
Saudi-Arabien, das sich gesellschaftlich 
immer noch sehr stark an Stämmen und 
Abstammungslinien orientiert, ist das 
eine große Schande und hat dementspre- 
chend, so hoffen wohl die Behörden, auch 
ein großes Abschreckungspotenzial. 


Der Mann, so die Anklage, habe sich 
der Frau von hinten genähert, sie be- 
grapscht und mit obszönen Worten ver- 
folgt. Ihm drohen nun eine Geldstrafe 
von umgerechnet rund 1.200 € sowie 
acht Monate Haft. Seit 2018 wird sexu- 
elle Belästigung in dem konservativen 
Golfkönigreich mit bis zu zwei Jahren 
Gefängnis und Geldstrafen von bis zu 
24.000 € geahndet. Bei Wiederholungs- 
tätern sieht das saudische Strafgesetz 
sogar eine Haftstrafe von bis zu fünf 
Jahren vor. Auch einige arabische Län- 
der, darunter Ägypten und Libanon, 
verschärften kürzlich ihre Gesetze ge- 
gen sexuelle Belästigung. Aktivisten 
beklagen häufig, dass die Gesetze an der 
laschen Polizeiarbeit scheitern. 

Viele reagierten nun erfreut auf die 
erstmals zur Anwendung gekommene 
Taschhir-Praxis, die Saudi-Arabien 2021 
gesetzlich verankerte. Die Richter des 
Strafgerichts in Medina, der zweitwich- 
tigsten heiligen Stadt des Islam, griffen 
anlässlich der „Schwere des Verbrechens 
und seiner Auswirkungen auf die Gesell- 
schaft”, wie es im Gesetzestext steht, 
darauf zurück. Besonders erniedrigend 
dabei ist, dass der Täter die Zeitungen 
auch noch dafür bezahlen muss seinen 
Namen abzudrucken. 

In der arabischen Öffentlichkeit ist 
in den vergangenen Jahren eine höhe- 
re Sensibilität bei dem Thema sexuelle 
Belästigung zu beobachten. Während 
einige zwar immer noch über die Klei- 
dung der Frau diskutieren wollen, an- 
statt die Schuld alleine bei dem Täter zu 
suchen scheint sich die Mehrheit einer 
Nulltoleranz-Haltung anzunähern. Der 
saudische Anwalt Khalid Abu Rashid be- 
zeichnete im Live-Fernsehen des Senders 
Rotana al-Khalijia schon die Frage nach 
der Handynummer oder dem Snapchat- 
Namen als Beginn einer möglichen Be- 
lästigung: „Es beginnt mit einem Wort.” 
Frauen - oder auch Männer - sollten in 
diesem Fall Zeugen auf die Situation auf- 
merksam machen oder sich nach Über- 
wachungskameras umsehen. 

In den sozialen Netzwerken wurde das 
Urteil größtenteils positiv aufgenom- 
men. Es gab aber auch kritische Stim- 
men, vor allem von männlichen Usern. 
Nun sei der Name einer ganzen Großfa- 
milie in den Schmutz gezogen, dabei trä- 
fe sie doch keine Schuld, schrieb einer. 
Die Antwort von weiblicher Seite folgte 
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sogleich: Die Großfamilie sei schuld, weil 
sie den Abkömmling offensichtlich nicht 
richtig erzogen habe. Außerdem fordern 
viele Frauen neben der Veröffentlichung 
des Namens auch ein Foto des Täters, es 
könne ja sonst zu Verwechslungen kom- 
men. Einige forderten sogar den Wohnort 
des Täters, sie würden ihn gerne besu- 
chen (Ramadan, Der Name in der Zei- 
tung, SZ 13.01.2022, 6). 


Russland 


Daten von einer halben 
Million Impfbetrügern zum 
Verkauf 


Die personenbezogenen Daten von 
500.000 Menschen aus Moskau und 
Umgebung werden im Darknet und auf 
Telegram-Kanälen zum Kauf angeboten. 
Die Datensätze beinhalten Ausweisda- 
ten, Sozialversicherungsnummern, Te- 
lefonnummern und Adresse. Zuvor hat- 
ten sich, so Presseberichte, alle in den 
Datensätzen befindlichen Personen ein 
gefälschtes Impfzertifikat beziehungs- 
weise einen gefälschten PCR-Test aus- 
stellen lassen. 

Evgeny A., Programmierer und Be- 
treiber eines Telegram-Kanals für Leaks 
von Daten im russischen Internet mit 
dem Namen „Eye of God”, erklärte, dass 
die größte Datenbank mehr als 500.000 
Einträge über Bewohner aus Moskau 
enthält. Ihm zufolge wurden die Daten 
vom gleichen Dienst geleakt, der den 
Moskauern auch die gefälschten Coro- 
na-Zertifikate verkaufte. 

Für die Daten einer einzelnen Person, 
die auch das Ausstellungsdatum des 
gefälschten Zertifikats enthält, werden 
dem Bericht nach umgerechnet etwa 
40 Euro-Cents aufgerufen. Der Zeitung 
Kommersant, die Kontakt zu einem An- 
bieter der Daten aufgenommen hatte, 
wurden 1.000 Datensätze für umgerech- 
net 104 Euro angeboten. 

Einem Rechtsexperten zufolge drohen 
bei Erwerb eines gefälschten Impfzerti- 
fikates und dessen Ausstellung auch 
strafrechtliche Konsequenzen - bis zu 
einem Jahr Haft für den Erwerb, für die 
Erstellung gefälschter Impfzertifikate 
sogar bis zu zwei Jahre. Ein Darknet-Ex- 
perte vermutet, dass die Betrüger wahr- 
scheinlich doppelt abkassieren wollen 
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(Mewes, Daten von 500.000 Moskauern 
mit gefälschten Impfzertifikaten stehen 
zum Verkauf, www.heise.de 14.11.2021, 
Kurzlink: https://heise.de/-6266421). 


USA 


NSO wegen Pegasus 
sanktioniert 


Das US-Handelsministerium hat unter 
anderem zwei israelische Softwarean- 
bieter auf die Liste der Unternehmen 
gesetzt, die Handelsbeschränkungen 
unterliegen. Betroffen sind die Ent- 
wicklerfirma der berüchtigten Spio- 
nagesoftware Pegasus NSO sowie eine 
Softwarefirma namens Candiru. Sie ge- 
langten auf die „Entity List”, weil es Be- 
weise gebe, dass sie „Spionagesoftware 
entwickelt und an ausländische Regie- 
rungen geliefert haben“. Die Software 
sei zur „Überwachung von Regierungs- 
beamten, Journalisten, Geschäftsleu- 
ten, Aktivisten, Wissenschaftlern und 
Botschaftsmitarbeitern eingesetzt” 
worden. 

Die NSO Group war mit ihrer Spiona- 
gesoftware Pegasus im Sommer 2021 
weltweit in die Schlagzeilen geraten, 
nachdem bekannt wurde, dass Staats- 
und Regierungschefs sowie mindestens 
180 Journalisten, Menschenrechtsver- 
teidiger, Wissenschaftler, Gewerkschaf- 
ter und Diplomaten mit der Software 
ausspioniert wurden. NSO wird darüber 
hinaus vorgeworfen seine Software re- 
gelmäßig an autoritäre Regierungen 
zu verkaufen, die damit Journalisten 
und die Opposition überwachen. Das 
Unternehmen weist die Vorwürfe eben- 
so regelmäßig zurück (DANA 3/2021, 
187 ff.). Auch die Bundesregierung 
gehört zu den Kunden der NSO Group; 
das BKA hat Pegasus eingekauft (DANA 
4/2021, 239 £.). 

Candiru ist ein israelisches Unter- 
nehmen, das im Sommer mit Exploits 
für Zero-Day-Lücken in beliebten 
Browsern aufgefallen war. Der Firma 
werden Spyware-Tools für verschiede- 
ne Plattformen wie i0OS, Android, Win- 
dows oder MacOS zugeschrieben, dar- 
unter ein Tool namens DevilsTongue. 
Microsofts Threat Intelligence Center 
(MSTIC) hatte zuletzt über 100 Ziele 
der Spyware beobachtet. 


Neben den zwei israelischen Spyware- 
Schmieden landeten auch das russische 
Unternehmen Positive Technologies 
und die Computer Security Initiative 
Consultancy aus Singapur auf der Entity 
List. Die US-Regierung geht davon aus, 
dass diese Firmen mit Software han- 
deln, „die dazu dienen, sich unbefugt 
Zugang zu Informationssystemen zu 
verschaffen und damit die Privatsphäre 
und Sicherheit von Einzelpersonen und 
Organisationen weltweit bedrohen”. Auf 
der Entity List führt die US-Regierung 
Unternehmen, Personen oder Regierun- 
gen, deren Aktivitäten „den nationalen 
Sicherheits- oder außenpolitischen In- 
teressen der Vereinigten Staaten zuwi- 
derlaufen“. Der Handel mit diesen un- 
terliegt strengen Beschränkungen und 
ist teilweise nur mit einer Ausnahmege- 
nehmigung des Ministeriums erlaubt. 

Im Mai 2019 hatte die US-Regierung 
unter Präsident Donald Trump auch Hu- 
awei auf diese Liste gesetzt. Das hatte 
weitreichende Folgen für das chinesi- 
sche Unternehmen und seine zahlrei- 
chen US-Handelspartner. Huawei kann 
wegen der Beschränkungen unter an- 
derem keine Smartphones mit Googles 
Android mehr anbieten und hatte sich 
dann von einem großen Teil seines 
Smartphone-Geschäfts getrennt (Strafe 
für Pegasus-Firma NSO, SZ 04.11.2021, 
20; Briegleb, Spyware Pegasus: USA ver- 
hängen Sanktionen gegen NSO Group 
und andere, www.heise.de 03.11.2021, 
Kurzlink: https://heise.de/-6250364). 


USA 


Apple klagte gegen NSO 
wegen Pegasus 


Am 23.11.2021 reichte Apple vor ei- 
nem US-Bundesgericht Klage gegen 
NSO ein. Die NSO Group aus Israel ist für 
ihre Software Pegasus bekannt. Mit Pe- 
gasus übernehmen NSO-Kunden, meist 
Polizeien und Geheimdienste, aus der 
Ferne Handys. Sie können auf prak- 
tisch alle Daten des Geräts zugreifen, 
es als Wanze benutzen und sogar die 
Kamera an- und ausschalten. Damit soll 
nun zumindest in Bezug auf iPhones 
Schluss sein. Apple will Schadenersatz 
in ungenannter Höhe und dem Unter- 
nehmen verbieten Apples Geräte und 
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Dienste zu nutzen. Das soll laut Apple 
„weiteren Missbrauch und Schaden bei 
Nutzern verhindern”. Apple begründet 
seine Klage damit, dass diejenigen, 
die Pegasus einsetzen, gegen Apples 
Nutzungsbestimmungen verstoßen, 
wenn sie sich Apple-Konten anlegen, 
um andere auszuhorchen. NSO erklär- 
te dazu nur allgemein: „Pädophile und 
Terroristen operieren frei in technolo- 
gischen Schutzzonen, und wir geben 
Regierungen die legalen Mittel dagegen 
zu kämpfen.” Apple erklärte, die NSO 
Group müsse für „die Überwachung von 
und den gezielten Angriff auf Apple- 
Nutzer” zur Verantwortung gezogen 
werden. Das Unternehmen beantragte 
darüber hinaus eine dauerhafte Verfü- 
gung, „die der NSO Group die Nutzung 
jeglicher Software, Services oder Geräte 
von Apple untersagt”. 

NSO wird vorgeworfen ihre Software 
auch an Regierungen zu verkaufen, die 
sie gegen demokratische Oppositionelle 
und andere missliebige Politiker ein- 
setzen statt nur gegen Verbrecher und 
Terroristen, wie das Unternehmen be- 
hauptet. Im Sommer hatten Enthüllun- 
gen eines internationalen Konsortiums 
von Journalisten gezeigt, wie Pegasus 
mutmaßlich missbraucht worden ist: 
Hunderte Menschenrechtsaktivisten, 
Journalisten, Anwälte und Staatschefs 
wurden offensichtlich ausspioniert. 
NSO bestreitet die Vorwürfe und ver- 
weist auf Vorgaben für seine Kunden, 
die Menschenrechte einzuhalten (DANA 
3/2021, 187ff.,s.o.S. 49). 

Unternehmen wie Apple sind in der 
digitalen Spionagewelt in einer beson- 
deren Position. Ihre Infrastruktur - in 
diesem Fall das Betriebssystem des 
iPhone - ist der Kanal, über den Spione 
sich Zugriff auf die Geheimnisse ihrer 
Ziele verschaffen. Fachleute nennen die 
Angriffstechnik, mit der NSO mutmaß- 
lich in iPhones eindringt „Forcedentry” 
- gewaltsames Eindringen. 

Apples Software-Chef Craig Federigh 
erklärte: „Staatlich geförderte Akteu- 
re wie die NSO Group geben Millionen 
von US-Dollar für ausgeklügelte Über- 
wachungstechnologien aus, ohne dass 
eine wirksame Rechenschaftspflicht 
besteht. Das muss sich ändern“. Apple 
betont zugleich, dass die „ausgeklügel- 
te, staatlich geförderte Überwachungs- 
technologie” nur auf „eine sehr geringe 
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Anzahl von Nutzern“ abziele und nicht 
nur i0S betreffe, sondern auch Googles 
Android. 

Apple will zudem die NGOs Citizen 
Lab, eine Forschungsgruppe an der 
Universität Toronto, und Amnesty Tech 
mit zehn Millionen Dollar unterstüt- 
zen. Die Organisationen untersuchen 
von der Pegasus-Software befallene 
Handys forensisch und rekonstruieren 
so Spionageaktionen. Das Citizen Lab 
soll außerdem mit kostenloser Technik 
und mit technischer Hilfe unterstützt 
werden. Apple schlägt sich damit klar 
auf die Seite jener nicht-kommerziellen 
IT-Fachleute, die Dissidenten vor Über- 
wachung schützen wollen. Das Geld, das 
Apple von NSO erstreiten will, möchte 
der Konzern an die beiden Unterneh- 
men spenden. Ron Deibert vom Citizen 
Lab lobte das Vorgehen von Apple. Er 
hoffe, Apple werde Gerechtigkeit für alle 
„Opfer des rücksichtslosen NSO-Verhal- 
tens” herstellen. 

iPhones haben bzgl. ihrer Sicher- 
heit einen guten Ruf. Umso peinlicher 
ist es für das Unternehmen, dass NSO 
Schwachstellen ausnutzen konnte. 
Apples IT-Sicherheitsabteilung hatte die 
Schwachstellen, die Pegasus ausnutzte, 
nicht selbst entdeckt und geschlossen. 
Apple versucht somit einmal mehr sich 
als jener Tech-Konzern zu profilieren, 
der sich dem weltweiten System digita- 
ler Überwachung nicht nur verweigert, 
sondern es sogar aktiv bekämpft. Für 
Apple ist das einfacher als für Konzerne 
wie Facebook oder Google: Die Kalifor- 
nier verdienen ihr Geld vor allem mit 
dem Verkauf von Hardware und weniger 
mit Werbung. 

Apple kündigte zudem an Nutzende 
direkt zu informieren, wenn der iPho- 
ne-Hersteller davon ausgeht, dass sie 
Opfer einer solchen Spionagekampagne 
wurden. So soll es künftig sogenannte 
Threat Notifications über die zentrale 
Nutzerverwaltungsseite des Konzerns, 
per E-Mail sowie falls möglich auch per 
iMessage geben. Wie genau Apple solche 
Angriffe erkennen will, um seine Nutzer 
zu informieren, ist unklar. 

Apple ist der zweite Konzern aus dem 
Silicon Valley, den sich die NSO Group 
zum Feind macht. Meta (ehemals: Face- 
book) klagt schon seit 2019 gegen NSO, 
weil Whatsapp-Nutzende mit Pegasus 
angegriffen worden sein sollen. Anfang 


November 2021 scheiterte NSO vor ei- 
nem US-Gericht mit dem Argument, 
man genieße Immunität, weilmanjaim 
Auftrag ausländischer Regierungen ge- 
handelt habe. Die USA haben NSO mitt- 
lerweile auf ihre Sanktionsliste gesetzt 
(s. S. 53). US-Unternehmen dürfen der 
Firma keine Technologie mehr verkau- 
fen (Brühl, Runter von meinem Grund- 
stück, SZ 25.11.2021, 19; Grünewald, 
Apple geht gegen Spyware vor, www. 
heise.de 24.11.2021, Kurzlink: https:// 
heise.de/-6275628; Briegleb, Spywa- 
re Pegasus: Apple verklagt NSO Group, 
www.heise.de 23.11.2021, Kurzlink: 
https://heise.de/-6275153). 


USA 


Familie klagt auf Ent- 
schädigung wegen Patent- 
erlösen 


70 Jahre nach dem Tod von Henriet- 
ta Lacks verklagte die Lacks-Familie 
am 04.10.2021 mehrere Pharmafirmen. 
1951 wurden der Afro-Amerikanerin im 
John Hopkins-Krankenhaus ohne ihr 
Einverständnis Krebszellen entnom- 
men. Am 04.10.1951 starb sie an Ge- 
bärmutterkrebs. Die „Hela”-Zellen sind 
die ersten Zellen, die im Labor vermehrt 
werden konnten. Sie revolutionierten 
die medizinische Forschung und führ- 
ten zu Medikamenten, Impfungen und 
neuen Technologien. Inzwischen sind 
mehr als 17.000 Patente dokumentiert, 
die mit den Hela-Zellen in Verbindung 
stehen. Die verklagten Unternehmen 
haben mit diesen Zellen Millionen US- 
Dollar Profite gemacht, wovon die Fa- 
milie keinen Cent erhielt. Diese verlangt 
eine finanzielle Entschädigung sowie 
einen Verzicht der Forschung auf Hela- 
Zellen ohne ihr Einverständnis (GiD 
Nr. 259 November 2021, 28.). 


Kanada 


Datenschutzbehörden ge- 
hen gegen Clearview- 
Gesichtsbilderdienst vor 


Der biometrische Gesichtserken- 


nungsdienst Clearview AI muss alle Bil- 
der und Gesichtsdaten von Einwohnern 
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der kanadischen Provinzen Quebec, Al- 
berta und Britisch-Kolumbien löschen. 
Außerdem darf Clearview seinen Ge- 
sichtserkennungsdienst dort auf Dau- 
er nicht mehr anbieten. Das haben die 
Datenschutzbehörden der drei Provin- 
zen entschieden. Clearview vertritt den 
Standpunkt, die Bilder und Gesichtsda- 
ten könnten gar nicht gelöscht werden. 

Mehr als drei Milliarden Gesichtsfotos 
hat das New Yorker Unternehmen Clear- 
view AI im Internet zusammengesucht. 
Damit hat es einen Gesichtserkennungs- 
Algorithmus trainiert, den es vermietet. 
Die Firma hat erst gar nicht versucht die 
Zustimmung der Betroffenen einzuho- 
len. Daraufhin haben Google, LinkedIn, 
Meta, Twitter und YouTube den Foto- 
sammler mit Unterlassungsaufforde- 
rungen eingedeckt, weil das Abgreifen 
der Nutzerbilder gegen die Nutzungs- 
bestimmungen der jeweiligen Dienste 
verstößt. 

Im Februar 2021 hat die kanadische 
Datenschutzbehörde offiziell festge- 
stellt, dass Clearview AI mehrfach ge- 
gen kanadisches Bundesrecht versto- 
ßen hat und Clearviews Gesichtserken- 
nungsdienst illegal ist. Die Behörden 
Australiens und Großbritanniens haben 
ähnliche Feststellungen getroffen. Das 
Unternehmen hat seinen Dienst zwar 
für kanadische Kunden pausiert, möch- 
te den Betrieb aber wieder aufnehmen. 
Dazu verlangt es, dass die Behörden 
Richtlinien ausarbeiten, die den legalen 
Betriebin Kanada ermöglichen. Darüber 
hinaus begehrte Clearview vergeblich 
die Geheimhaltung des kanadischen Be- 
hördenberichts. 

Weil sich die Firma weiterhin keiner 
Schuld bewusst ist, weiter Gesichtsfotos 
sammeln möchte, die bereits gesam- 
melten Bilder nicht gelöscht hat und 
die kanadischen Behörden als unzu- 
ständig erachtet, haben nun drei Pro- 
vinzen rechtlich verbindliche Beschei- 
de erlassen (Alberta Order P2021-12, 
Umsetzung binnen 90 Tagen, Britisch- 
Kolumbien Order P21-08, Umsetzung 
binnen sechs Wochen, Quebec Dossier 
1023158-S, Umsetzung binnen 90 Ta- 
gen). Clearview hatte in den Verfahren 
erneut die Anwendbarkeit kanadischen 
Rechts sowie die Zuständigkeit der dor- 
tigen Behörden in Abrede gestellt. 

Außerdem behauptet Clearview, es 
sei unmöglich die einschlägigen Bilder 
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zu löschen. Aus den Bildern ginge nicht 
hervor, wo sie aufgenommen wurden. 
Gleichzeitig verspricht das Unterneh- 
men seinen Kunden die gezeigten Per- 
sonen identifizieren zu können. Dann 
müsste sich ja auch feststellen lassen, 
wo diese Personen leben. Clearview hat- 
te sich in einem Verfahren im US-Staat 
Illinois ganz anders geäußert: Dort hat 
es alle Bilder, deren Metadaten einen 
Aufnahmeort in Illinois verraten, von 
der Suche ausgeschlossen. Es sammelt 
auch keine Bilder mehr von Servern, die 
Illinois zugeordnete IP-Adressen haben, 
oder in deren URL Stichworte wie Illi- 
nois oder Chicago vorkommen. Zudem 
hat Clearview für Einwohner Illinois’ ein 
Opt-Out-Verfahren eingerichtet. Daher 
schenken Kanadas Datenschutzbehör- 
den den Behauptungen Clearviews, 
nichts unternehmen zu können, keinen 
Glauben. 

Während Clearview AI in Großbritan- 
nien eine Millionenstrafe droht, kön- 
nen Kanadas Datenschutzbehörden erst 
dann Strafen verhängen, wenn den nun 
ausgestellten Bescheiden nicht Folge 
geleistet wird. Und selbst dann sind die 
maximalen Strafhöhen in Alberta und 
Britisch-Kolumbien mit 100.000 ka- 
nadischen Dollar (knapp 69.000 Euro) 
gering. Allerdings könnten Betroffe- 
ne Schadenersatz verlangen (Sokolov, 
Kanadische Behörden verbieten Clear- 
views Gesichtserkennung, wwrw.heise. 
de 16.12.2021, Kurzlink: https://heise. 
de/-6296459; 5.0. 5. 45). 


El Salvador 


Pegasus-Spähsoftware auf 
Handys von Regierungs- 
kritikern 


Auch nach Beginn der jüngsten Ent- 
hüllungen rund um die israelische NSO 
Group im vergangenen Sommer (DANA 
4/2021, 187 ff.) wurden gemäß einer 
gemeinsamen Recherche des kanadi- 
schen Citizen Lab mit Bürgerrechtsorga- 
nisationen Journalisten und Aktivisten 
in El Salvador mit NSO-Spyware ausge- 
späht. Erfolgreiche Spyware-Angriffe 
fanden demnach zwischen Juli 2020 
und November 2021 statt. Die Analyse 
sei begonnen worden, nachdem Jour- 
nalisten und Journalistinnen aus dem 


mittelamerikanischen Staat mit einem 
Werkzeug von Amnesty International 
auf ihren Smartphones Hinweise auf die 
Pegasus-Malware gefunden hatten. Ge- 
zielte Nachforschungen ergaben, dass 
vor allem Angestellte der Nachrichten- 
seite El Faro aus San Salvador betroffen 
waren, aber auch solche anderer Medien 
und zivilgesellschaftlicher Organisatio- 
nen. 

In den Monaten nach den ersten Ent- 
hüllungen ist die Liste der von der Pe- 
gasus-Ausspähung Betroffenen immer 
länger geworden. Von immer mehr Staa- 
ten wurde bekannt, dass sie die Spy- 
ware erworben hatten. Die NSO Group 
hatte die damit verbundenen Vorwürfe 
zurückgewiesen und versichert nur mit 
legitimen, vom israelischen Verteidi- 
gungsministerium überprüften Regie- 
rungsstellen zusammenzuarbeiten. 

In El Salvador wurde die Spyware nun 
auf den Mobiltelefonen von 37 Personen 
gefunden, 23 davon arbeiten für El Faro, 
vier für das Magazin GatoEncerrado. 
Beide Publikationen haben auch Be- 
richte publiziert, in denen Kritik an der 
Regierung geübt wurde. Präsident von 
El Salvador ist seit 2019 Nayib Bukele, 
der Bitcoin zum offiziellen Zahlungs- 
mittel seines Landes gemacht hat und 
wiederholt die Medien attackiert und zu 
„Feinden des Volkes” erklärt. Auf dem 
Index der Pressefreiheit von Reporter 
ohne Grenzen rutschte El Salvador zu- 
letzt um acht Plätze auf Rang 82 ab. Das 
Citizen Lab beschuldigt nun niemanden 
namentlich die Spyware-Angriffe in Auf- 
trag gegeben zu haben, weist aber dar- 
auf hin, dass die Fälle in „bedrückender 
Weise mit den Interessen der Regierung 
Bukele übereinstimmen” (Holland, NSO: 
Pegasus-Spyware auch bei Dutzenden 
Journalisten in El Salvador gefunden, 
www.heise.de 13.01.2022, Kurzlink: 
https://heise.de/-6325951). 


Iran/China 


Iran beschafft chinesische 
Überwachungstechnik 


Laut einem neuen Bericht der in den 
USA ansässigen Forschungsgruppe für 
Überwachungssysteme IPVM verkauft 
das chinesische Unternehmen Tiandy 
seine Überwachungstechnologie an die 
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Revolutionsgarde, die Polizei und das 
Militär im Iran. Die Firma ist eines der 
größten Videoüberwachungsunterneh- 
men der Welt mit einem Umsatz von fast 
700 Mio. US-Dollar im Jahr 2020. Sie 
handelt mit Kameras und dazugehöri- 
ger KI-gestützter Software, darunter Ge- 
sichtserkennungstechnologie und einer 
Software, die angeblich die Rasse einer 
Person erkennen kann. Auch im Port- 
folio: „intelligente” Vernehmungsti- 
sche, die zusammen mit „Tigerstühlen” 
verwendet werden können. An diesen 
Stahlstühlen werden Gefangene zur Fol- 
ter in schmerzhaften Körperhaltungen 
stundenlang fixiert. 

Gemäß dem IPVM-Bericht setzt die 
chinesische Regierung Tiandys „Ethni- 
city Tracking“-Tool zur Unterdrückung 
der uigurischen Minderheit in der Pro- 
vinz Xinjiang ein, eines von mehreren 
KI-basierten Systemen, das Experten 
weithin als ungenau und unethisch 
bewerten. Der IPVM-Bericht beruht 
auf einer Analyse öffentlich zugängli- 
cher Social-Media-Posts und Tiandys 
Werbung im Netz. Daraus geht hervor, 
dass das Unternehmen einen Fünfjah- 
resvertrag im Iran unterzeichnet hat 
und dort angeblich acht einheimische 
Mitarbeiter beschäftigt. Tiandy ist zwar 
in Privatbesitz, aber ein wichtiger Lie- 
ferant der chinesischen Regierung und 
sein CEO, Dai Lin, ein öffentlicher Un- 
terstützer der Kommunistischen Partei. 
Welche Überwachungsmöglichkeiten 
Tiandy genau an den Iran verkauft, ist 
unklar. IPVM fand Tiandy-Kameras im 
Einsatz bei der iranischen Firma Sairan 
- einem „staatlichen Anbieter von Mili- 
tärelektronik” - und in einer geheimen 
Militärbasis. Tiandy wirbt auf seiner öf- 
fentlichen Website auch mit mehreren 
Projekten im Iran, darunter die Zusam- 
menarbeit mit der Islamischen Revolu- 
tionsgarde und der Polizei in der nördli- 
chen Stadt Khomam. 

Das iranische Militär verwendet ge- 
mäß IPVM vernetzte Videorekorder 
(NVR) von Tiandy, die mit Chips des 
US-Herstellers Intel betrieben werden. 
Daher stellt sich die Frage, ob das Un- 
ternehmen gegen die US-Sanktionen 
gegen den Iran verstößt. Penny Bruce, 
eine Sprecherin von Intel, erklärte: „Wir 
wissen nichts über die Hintergründe der 
erhobenen Vorwürfe und untersuchen 
die Situation.” 
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Experten vermuten schon lange, 
dass der Iran versucht ein System der 
digitalen Kontrolle über seine Bürger 
nach dem Vorbild Chinas und unter 
Verwendung chinesischer Werkzeuge 
auszubauen. Saeid Golkar, Experte für 
iranische Sicherheit an der University 
of Tennessee, Chattanooga, sagte, dass 
Zensur und Überwachung die Grund- 
pfeiler dieses Modells seien: „Die Isla- 
mische Republik versucht ein Internet 
nach chinesischem Vorbild zu schaffen, 
indem sie eine starke Vernetzung för- 
dert und dann kontrolliert.” 

Der Iran hat schon früh das chinesi- 
sche „Social Credit”-System übernom- 
men, eine umfassende Erfassung und 
Analyse (Scoring) der finanziellen, bür- 
gerlichen und sozialen Aktivitäten der 
Bürger. Im Jahr 2010 unterzeichnete 
das in Shenzhen ansässige Unterneh- 
men ZTE ein 130-Millionen-Dollar-Ge- 
schäft mit der staatlichen Telecommu- 
nication Company of Iran (TCI), die ein 
Überwachungssystem in die von der 
Regierung verwaltete Telefon- und In- 
ternetinfrastruktur integrierte. 

Im März 2021 vereinbarten China und 
der Iran eine strategische Partnerschaft 
mit einer Laufzeit von 25 Jahren. Viele 
Details sind nicht bekannt, wohl aber, 
dass das Abkommen eine verstärkte 


Technik-Nachr 


Facebook schaltet Gesichts- 
erkennung ab 


Nachdem die 2010 eingeführte Ge- 
sichtserkennung von Facebook jah- 
relang für Kritik von Datenschützern, 
insbesondere aus Europa, gesorgt hat, 
kündigte der Facebook-Betreiber Meta 
Anfang November 2021 an sein Ge- 
sichtserkennungssystem abzuschalten. 
Mit der Funktion konnten Nutzer auto- 
matisch in Fotos markiert werden. Ganz 
aufgeben will der Konzern die Techno- 
logie aber nicht. Jerome Pesenti, Vi- 
zepräsident für künstliche Intelligenz 
bei der neuen Facebook-Muttergesell- 
schaft Meta erklärte, die gespeicher- 


militärische und handelspolitische Zu- 
sammenarbeit zwischen den beiden 
Ländern vorsieht. Der IPVM-Bericht 
zeigt bestätigend auf, wie der Iran seine 
Überwachungsmethoden modernisiert. 
Golkar zufolge wurde der iranische Si- 
cherheitsapparat bis vor kurzem größ- 
tenteils von Moderatoren und Infor- 
manten geleitet, die Websites in den so- 
zialen Medien überwachten. Das ändere 
sich gerade rapide: „Mit der zunehmen- 
den Digitalisierung des Irans werden wir 
sicher auch mehr digitale Formen der 
Unterdrückung und Überwachung erle- 
ben.” Der Iran ist bekannt für die Inhaf- 
tierung und Folterung von Dissidenten, 
und die Produktlinie von Tiandy scheint 
gut geeignet zu sein solche Methoden 
zu unterstützen. 

Golkar betont, dass es wichtig ist zu 
beobachten, was China anderen Län- 
dern und insbesondere Autokratien zu 
verkaufen versucht, die China folgen: 
„Alles, was China macht, werden sie 
kaufen oder versuchen es zu kopieren“. 
Die Partnerschaft zwischen Tiandy und 
dem Iran ist ein Beleg des besorgniser- 
regenden Trends (Ryan-Mosley, Chine- 
sisches Unternehmen verkauft Video- 
überwachungssysteme an Iran, www. 
heise.de 20.12.2021, Kurzlink: https:// 
heise.de/-6297914). 


ten Gesichtsdaten von mehr als einer 
Milliarde Menschen würden gelöscht: 
„Diese Änderung wird eine der größten 
Veränderungen in der Nutzung der Ge- 
sichtserkennung in der Geschichte der 
Technologie darstellen.” Das System ist 
bisher eines der größten digitalen Fo- 
toarchive der Welt. Mehr als ein Drittel 
der täglich aktiven Facebook-Nutzer 
habe sich für die Gesichtserkennungs- 
einstellung entschieden, rechnete er in 
einem Blogbeitrag vor. Das entspricht 
rund 640 Millionen Menschen. Zuletzt 
mussten die Nutzenden ausdrücklich 
zustimmen, damit ihre Namen in Fotos 
den Facebook-Freunden automatisch 
angezeigt wurden. 
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Weil die Technologie in den vergan- 
genen Jahren aber stetig besser wurde, 
steht sie immer mehr in der Kritik. So 
setzt die chinesische Regierung Ge- 
sichtserkennungssoftware ein, z.B. um 
die muslimische Minderheit der Uigu- 
ren zu überwachen. Polizeibehörden in 
den USA nutzen die Technik ebenfalls. 
In einigen Bundesstaaten und Städten 
ist sie aber mittlerweile wieder verboten 
worden, um Missbrauch zu verhindern. 

Relativierend meinte Pesenti, das 
Unternehmen versuche, die positiven 
Anwendungsfälle für die Technologie 
„gegen die wachsenden gesellschaft- 
lichen Bedenken abzuwägen, zumal 
die Regulierungsbehörden noch keine 
klaren Regeln aufgestellt haben“. Man 
sehe „eine Reihe von Fällen, in denen 
die Gesichtserkennung von hohem 
Wert für die Nutzer der Plattform sein 
kann” (Facebook stellt umstrittene 
Gesichtserkennung ein, www.spiegel. 
de 02.11.2021; Schuler, Facebook 
schaltet Gesichtserkennung ab, www. 
tagesschau.de 03.11.2021; Ohne Ge- 
sichtserkennung, SZ 04.11.2021, 20). 


Meta-Ankündigung: Kein 
Targeting mit sensiblen 
Merkmalen 


Meta - wie das Unternehmen hinter 
Facebook, Instagram und Whatsapp seit 
Kurzem heißt - will Werbetargeting dis- 
kriminierungsfreier machen. Von Janu- 
ar 2022 an sollen Werbetreibende keine 
Zielgruppen mehr auswählen können, 
die Nutzer nach ihrem Gesundheitssta- 
tus, ihrer politischen, religiösen oder 
sexuellen Orientierung unterteilen. 
Solche Informationen leiten die Sys- 
teme von Meta automatisch daraus ab, 
mit welchen Inhalten die Nutzer sich 
beschäftigen. Eine Anzeige, die nur 
Frauen zwischen 25 und 35 Jahren zu 
sehen bekommen, würde also weiterhin 
online gehen können, aber keine Anzei- 
ge nur für lesbische Kommunistinnen 
dieses Alters. 

Menschen berichten immer wieder, 
wie eingeengt sie sich auf bestimmte 
intime Merkmale durch Anzeigen-Tar- 
geting fühlen. Wer z.B. kürzlich einen 
Trauerfall in der Familie hatte bekommt 
massenweise Grabsteine zu sehen. Zu- 
mindest „sensible“ persönliche Infor- 
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mationen sollen künftig aus dem eige- 
nen Werbeprofil ausgeklammert blei- 
ben. 

Die Werbetreibenden müssen also 
eventuell auf ein breiter angelegtes 
Targeting zurückgreifen und somit auf 
Facebooks sogenanntes Auslieferungs- 
system. Je weniger detailliert die Nutzer 
selbst das Targeting auswählen, desto 
stärker ermittelt dieses System mithil- 
fe künstlicher Intelligenz automatisch, 
welche Menschen wohl am empfäng- 
lichsten sind für welche Anzeigen. Da- 
bei passiert das, was immer passiert, 
wenn man dem KI-System derlei Ent- 
scheidungen überlässt: Sie verstärken 
bestehende Stereotype. Die Organisati- 
on Algorithm Watch hat in einem Ver- 
such gezeigt, dass Facebook Jobange- 
bote für Lastwagenfahrer viel häufiger 
Männern zeigt, Anzeigen für Kinderer- 
zieher hingegen eher Frauen. Die Wer- 
betreibenden diskriminieren künftig 
also eventuell weniger selbst. Sie lassen 
vollautomatisch diskriminieren. 

Politische Organisationen befürchten, 
dass die geplanten Änderungen ihre Ar- 
beit erschweren könnten. Die Organi- 
sation Campact etwa gibt an Facebooks 
Werbesystem zu nutzen, um Menschen 
über ihre Interessen an bestimmte The- 
men auflaufende Kampagnen hinzuwei- 
sen, etwa zu „Fridays for Future“ oder 
„Christopher Street Day“. Beides dürfte 
künftig in die Kategorie dessen fallen, 
was Facebook als politisch und insofern 
als „sensibel“ einzustufen gedenkt. Die 
Organisation Transgender Europe teilt 
mit, sie bitte Facebook dringend „si- 
cherzustellen, dass LGBTIQ-Aktivisten 
und -Organisationen eine Möglichkeit 
haben sich an ihre Mitglieder und Ge- 
meinschaft zu wenden“. Das Kürzel 
LGBTIQ steht für sexuelle Minderheiten. 

Meta erklärt: „Wir wissen, dass diese 
Änderung negative Auswirkungen auf 
einige Unternehmen und Organisatio- 
nen haben könnte.” Man habe sich die 
Entscheidung nicht leicht gemacht. 
Trotzdem kann der Konzern sich nun 
rühmen etwas im Kampf gegen die Dis- 
kriminierung und das bei vielen Men- 
schen verhasste Targeting zu tun. Nach 
den jüngsten Enthüllungen skrupello- 
ser Geschäftspraktiken durch die Whist- 
leblowerin Frances Haugen hat Meta 
bzw. Facebook eine besonders offene 
Flanke. Ein Gesetz über digitale Dienste 


der EU, das die Möglichkeiten „persona- 
lisierter Werbung” einschränken soll, 
befindet sich auf der Zielgeraden (Bo- 
vermann, Facebook dreht am Anzeigen- 
Algorithmus, SZ 11.11.2021, S. 6). 


Verräterische Finger- 
schweiß-Analyse 


Ein Team um den Chemiker Chris- 
topher Gerner von der Universität 
Wien hat demonstriert, dass winzige 
Schweißtöpfchen an der Unterseite der 
Fingerkuppen viel über Verhalten und 
Gewohnheiten einer Person preisgeben. 
In der Zeitschrift „Nature Communica- 
tions“ berichten sie, dass das an den 
Fingerspritzen abgesonderte Sekret 
zwar zu 99% aus Wasser besteht, dass 
darin aber auch jede Menge Elektrolyte 
sowie Harnstoff, Laktat, Aminosäuren, 
Metall-Ionen, diverse Stoffwechsel- 
Abbauprodukte und körperfremde Sub- 
stanzen, deren Zusammensetzung sich 
je nach Person unterscheidet, zu finden 
sind. Die Forschenden konnten bisher 
250 Substanzen mit ihrer neuen Metho- 
de schneller und einfacher nachweisen 
als etwa mit der sonst üblichen Urin- 
oder Blutanalyse. 

Danach genügen wenige Millions- 
tel Milliliter Schweiß am Finger, um 
zu erfahren, was chemisch im Körper 
passiert ist. Wie stumme Zeugen lie- 
fern die Substanzen Hinweise, wie 
lange der letzte Espresso her ist, ob 
kürzlich Kokain, Ecstasy oder Canna- 
bis konsumiert wurden, ob jemand die 
Antibabypille, Psychopharmaka oder 
Betablocker nimmt oder ob eine zuvor 
gegessene Bio-Orange besonders viele 
Antioxidantien enthalten hat. Gemäß 
Gerner ist deren Methode unkompli- 
ziert, da man nur eine Minute lang ein 
spezielles Filterpapier zwischen Dau- 
men und Zeigefinger halten müsse. Die 
im Schweiß vorkommenden Moleküle 
werden anschließend im Labor ext- 
rahiert und per Massenspektrometer 
analysiert. Sind die enthaltenen Sub- 
stanzen bereits bekannt, dauert dies 
nur etwas mehr als eine Viertelstunde. 

Für ihre Studie hat das Team die Test- 
personen entweder einen Espresso oder 
Koffeintabletten schlucken lassen. 
Schon 15 Minuten nach der Einnahme 
der Koffeinprodukte konnten die For- 
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schenden in den Fingerabdruck-Proben 
bereits 35 Inhaltsstoffe und Abbau- 
produkte nachweisen, darunter Koffe- 
in, Theobromin oder Chlorogensäure. 
Durch weitere Tests zu einem späteren 
Zeitpunkt ließ sich auch verfolgen, wie 
sich die Verstoffwechslung des Kaffees 
und der Tabletten allmählich verändert. 
Sie konnten u.a. die Hormone Progeste- 
ron, Melatonin oder Cortisol sowie den 
Botenstoff Dopamin aufspüren. Nun su- 
chen die Wissenschaftler nach Anwen- 
dungsmöglichkeiten. Ihr Ziel sei es zum 
Beispiel Stressindikatoren für Herzin- 
farkt-Risikopatienten rechtzeitig und 
ohne viel Aufwand zu erkennen. Auch 
den Laktat-Test für Leistungssportler 
will das Team vereinfachen. Anstatt dem 
klassischen Piks ins Ohrläppchen für 


EGMR 


Online-Anonymität bei 
geschützter Meinungs- 
äußerung 


Der Europäische Gerichtshof für Men- 
schenrechte (EGMR) hat am 07.12.2021 
einstimmig entschieden, dass Öster- 
reich mit nationalen Urteilen zur He- 
rausgabe persönlicher Daten von Nut- 
zern eines Online-Diskussionsforums 
der Zeitung „Standard“ gegen die in 
Artikel 10 der Europäischen Menschen- 
rechtskonvention (EMRK) geschützte 
Meinungsfreiheit verstoßen hat (Nr. 
39378/15). Die Straßburger Richter 
betonten, dass eine Pflicht zur Offenle- 
gung von Informationen über die User 
„eine abschreckende Wirkung” auf die 
öffentliche Debatte habe. 

In der Auseinandersetzung ging es 
um die Preisgabe der Identität von drei 
Foren-Teilnehmern, deren Beiträge aus 
den Jahren 2011 bis 2013 unter ande- 
rem den österreichischen Rechtspo- 
pulisten Herbert Kickl (FPÖ) sowie die 
Freiheitlichen in Kärnten, eine Landes- 
gruppe der FPÖ, zu Klagen veranlasst 
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eine Blutanalyse soll in Zukunft der Fin- 
gerschweiß ausreichen, um den Gehalt 
an Laktat zu bestimmen. 

Gerner schätzt, dass sich im Finger- 
abdruck vermutlich mehrere Tausend 
Stoffe nachweisen lassen: „Bei einigen 
Testpersonen haben wir jetzt zum Bei- 
spiel Hinweise auf Dutzende Pestizide 
im Gemüse gefunden oder bei Rauchern 
diverse Substanzen aus dem Zigaretten- 
rauch.” Die Forensik sei an der neuen 
Analysetechnik sehr interessiert. Fach- 
leute von der Abteilung Forensische Me- 
dizin der Universität Wien überprüfen, 
ob die Methode auch bei zu untersu- 
chenden Leichen noch Hinweise aufden 
Konsum möglicher Drogen oder Medika- 
mente geben könnte (Reye, Cannabis 
und Orangen, SZ 25.11.2021, 15). 


Rechtsprechung 


hatten. Die Verlagsgesellschaft hatte 
die Kommentare, in denen rechtsge- 
richtete Politiker mit Korruption oder 
Neonazis in Verbindung gebracht wur- 
den, zwar geprüft und entfernt. Sie 
weigerte sich aber, die persönlichen 
Daten der Verfasser der Postings preis- 
zugeben. 

Ein Online-Artikel von 2012 über das 
Spitzenpersonal der Kärntner Freiheitli- 
chen führte in dem Forum zu über 1600 
Kommentaren. Einer davon lautete: 
„Korrupte Polit-Arschlöcher vergessen, 


(Wiedergabe wie im Original). Ein ande- 
rer Leser machte sich für ein Verbot sol- 
cher Rechtsaußenparteien „wegen ihrer 
dauernden Nazi-wiederbelebung” stark. 
Unter einem Interview mit Kickl von 
2013, der damals FPÖ-Generalsekretär 
und inzwischen Chef der Partei ist, be- 
klagte ein Nutzer zudem ein „sägen an 
der verfassung” sowie „das destabilisie- 
ren unserer staatsform“. Wären solche 
Taten konsequent unter Strafe gestellt 
oder zumindest der Mafiaparagraf ein- 
mal angewendet worden auf die rechts- 
extreme Szene in Österreich, gälte Kickl 
als „einer der größten verbrecher der 
2ten republik”. 


Der Oberste Gerichtshof (OGH) in Wien 
urteilte 2014 in letzter Instanz, dass der 
„Standard“ die Nutzerdaten wegen der 
Beiträge herausgeben muss. Die Verlags- 
gruppe legte daraufhin 2015 Beschwerde 
beim EGMR ein. Sie argumentierte, die 
Kommentare seien zulässige kritische 
Werturteile im politischen Zusammen- 
hang. Es handle sich nicht um einen 
rechtlich unzulässigen „Wertungsex- 
zess“. Die Beiträge basierten in wesent- 
lichen Punkten aufnachweisbaren Tatsa- 
chen. Das Urteil zur Preisgabe der Iden- 
titäten verletze nicht nur die Meinungs- 
und Informationsfreiheit, sondern auch 
das Redaktionsgeheimnis. 

Der EMGR entschied, dass eine über- 
geordnete Funktion des klagenden 
Medienunternehmens darin bestehe 
die offene Diskussion zu fördern und 
einschlägige Ideen zu verbreiten. Dies 
sei durch die Pressefreiheit geschützt. 
Dem stünde die Offenlegung der Nutze- 
rinformationen entgegen. Die entspre- 
chende Weigerung verfolge das legitime 
Ziel „den Ruf anderer zu schützen”. Die 
EMRK sehe „kein absolutes Recht auf 
Online-Anonymität” vor. Das Verbergen 
von Identitäten sei jedoch seit Langem 
ein Mittel, „um Repressalien oder uner- 
wünschte Aufmerksamkeit zu vermei- 
den“. Dieses Instrument sei geeignet 
„den freien Fluss von Meinungen, Ideen 
und Informationen zu fördern, insbe- 
sondere auch im Internet”. Presseorga- 
nen müsse es daher möglich sein Ano- 
nymität mit eigenen Mitteln wirksam zu 
verteidigen. 

Bei den fraglichen Äußerungen hand- 
le es sich weder um Hassrede noch um 
Aufrufe zur Gewalt, stellt der EGMR 
klar. Es wäre Aufgabe der nationalen 
Gerichte gewesen die konkurrierenden 
Interessen abzuwägen. Sie hätten dies 
aber nicht getan, wobei insbesondere 
der OGH nicht einmal Gründe angeführt 
habe, warum die Belange der Kläger die 
des Unternehmens an der Geheimhal- 
tung der Identität der Nutzer überwie- 
gen sollten. 

Einen Eingriff in das Redaktionsge- 
heimnis sahen die Straßburger Richter 
nicht, da die Kommentatoren nicht als 
journalistische Quellen gelten könnten. 
Auch einen Anspruch auf Schadener- 
satz erkannten sie nicht an. Österreich 
muss dem „Standard“ aber die mit der 
Klage verknüpften Kosten und Ausla- 
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gen in Höhe von 17.000 Euro erstatten. 
Rechtsanwältin Maria Windhager, die 
das Medienhaus vertrat, bezeichnete 
das Urteil als „Watsche für den OGH”. Es 
müsse immer zwischen zulässiger po- 
litischer Kritik und Hasskommentaren 
unterschieden werden (Krempl, Kritik 
in Online-Forum: Menschengerichtshof 
stärkt Anonymität im Netz, www.heise. 
de 08.12.2021, Kurzlink: https://heise. 
de/-6288864). 


Conseil d Etat 


Bußgeld gegen Google we- 
gen Cookie-Intransparenz 
bestätigt 


Der Conseil d’Etat (Staatsrat), das 
oberste Gericht Frankreichs, bestätigte 
mit Urteil vom 28.01.2022 die Entschei- 
dung der Datenschutzbehörde CNIL, 
dass Google wegen undurchsichtiger 
Cookie-Einstellungen und dem Set- 
zen solcher Browserdateien ohne die 
erforderliche Zustimmung insgesamt 
100 Mio. Euro Strafe zahlen muss (No 
449209). 

Damit wies der Staatsrat die Argu- 
mente Googles gegen die Sanktions- 
maßnahme der Commission Nationale 
de U’Informatique et des Libertes (CNIL) 
vom Dezember 2020 (DANA 1/2021, 
52) zurück und stellte fest, dass der 
US-Konzern seinen Verpflichtungen 
zum Einholen einer informierten Ein- 
willigung der User vor dem Setzen von 
Cookies nicht nachgekommen ist. Die 
von der CNIL verhängten Geldbußen 
gegen den Hauptsitz des Unternehmens 
in Kalifornien und die Europazentrale 
in Irland sind demnach nicht unver- 
hältnismäßig. Der Staatsrat begründete 
dies vor allem mit den hohen Gewinnen, 
die der Suchmaschinenriese mit per- 
sonalisierter Online-Werbung und den 
dafür gesammelten Daten erzielt. Das 
Gericht verwies auf die dominante Po- 
sition Googles in Frankreich mit einem 
Marktanteil von über 90% und rund 47 
Millionen Usern. 

Die CNIL hatte bei einer Kontrolle im 
März 2020 festgestellt, dass Google sie- 
ben Cookies automatisch auf den Com- 
putern der Nutzer ablegte, sobald diese 
auf die Website gelangten. Darunter wa- 
ren vier entsprechende Browserdateien, 
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die nur Werbezwecken und dem damit 
verknüpften Tracking dienten. Während 
der Untersuchung änderte der Konzern 
zwar seine Praktiken im August 2020, 
informierte die Nutzer aber weiterhin 
nicht direkt und ausdrücklich über den 
Zweck der Cookies und die Möglichkei- 
ten diese abzulehnen. 

Die Strafen verhängte die Daten- 
schutzbehörde nicht auf Basis der Da- 
tenschutz-Grundverordnung (DSGVO). 
Sie stützte sich auf Artikel 82 des na- 
tionalen Gesetzes über Informatik und 
Freiheiten, mit dem der französische 
Gesetzgeber die europäische E-Privacy- 
Richtlinie von 2002 umgesetzt hatte. 
Der Conseil d’Etat entschied zudem, 
dass das in der DSGVO vorgesehene 
System der einheitlichen Anlaufstel- 
le (One-Stop-Shop) auf das Setzen von 
Cookies nicht anwendbar sei und wen- 
dete primär die nationalen rechtlichen 
Vorgaben an. 

Das erwähnte französische Gesetz war 
laut der Entscheidung auch deswegen 
anwendbar und die CNIL für die Durch- 
setzung zuständig, weil die französi- 
sche Google-Niederlassung die Cookies 
ausspielte. Sie musste den Fall daher 
nicht an die irische Datenschutzbehör- 
de DPC weiterleiten, die nach der DSGVO 
federführend für den Konzern zustän- 
dig ist. Die Kontroll- und Sanktionspra- 
xis der DPC steht wegen ihrer Zurückhal- 
tung massiv in der Kritik (DANA 2/2021, 
126 f.). Die Richter urteilten zudem, 
dass der Ausschluss des One-Stop-Shop- 
Ansatzes in Bezug auf Cookies klar ge- 
nug sei. Sie sahen sich daher nicht ver- 
pflichtet den Europäischen Gerichtshof 
um eine Vorentscheidung zu ersuchen. 
Dies hatte Google mit seiner Klage ge- 
gen den CNIL-Beschluss gefordert. 

Mit dem Urteil bleibt der Conseil d’Etat 
seiner bisherigen Linie treu. Schon im 
Juni 2020 hatte er eine 50-Millionen- 
Strafe der CNIL gegen Google mitgetra- 
gen, die zu ihrer Zeit die höchste auf 
Grundlage der DSGVO verhängte Sankti- 
on war (DANA 3/2020, 202). Auch dabei 
ging es um intransparente Datenschutz- 
Einstelloptionen und personalisierte 
Werbung ohne ausreichende rechtliche 
Basis. Erst im Januar 2022 verhängte 
die CNIL gegen Google erneut wegen 
Verstoß gegen Artikel 82 des französi- 
schen E-Privacy-Gesetzes eine Strafe 
von insgesamt 150 Millionen Euro. In 


diesem Fall stellten die Kontrolleure 
fest, dass Besucher von google.fr und 
youtube.com öfter klicken mussten, um 
Cookies abzulehnen als sie anzunehmen 
(Krempl, Cookie-Einwilligung: Franzö- 
sisches Gericht bestätigt hohe Strafe ge- 
gen Google, www.heise.de 29.01.2022, 
Kurzlink: https://heise.de/-6342543). 


BGH 


Facebooks Klarnamen- 
pflicht unzulässig 


Der Bundesgerichtshof (BGH) hat mit 
Urteilen vom 27.01.2022 eine Klausel 
in den Nutzungsbedingungen von Fa- 
cebook gekippt, wonach ein Nutzer des 
sog. sozialen Netzwerks grundsätzlich 
den Namen verwenden muss, denerauch 
im täglichen Leben gebraucht (Az.: IIIZR 
3/21 und IIIZR 4/21). Die Bestimmung 
habe die Kläger zum Zeitpunkt ihrer Ein- 
beziehung in den Nutzungsvertrag 2018 
„entgegen den Geboten von Treu und 
Glauben“ unangemessen benachteiligt. 
Der BGH urteilte gemäß der alten Geset- 
zeslage des bis zum 30.11.2021 gültigen 
Telemediengesetzes (TMG) und der euro- 
päischen Datenschutz-Richtlinie, deren 
Wirksamkeit seit 25.05.2018 von der 
Datenschutz-Grundverordnung (DSGVO) 
abgelöst wurde. Der vorsitzende Richter 
Ulrich Herrmann wies ausdrücklich da- 
rauf hin, dass „die unmittelbare Reich- 
weite unserer Entscheidung auf Altfälle 
begrenzt“ sei. 

Gemäß den Urteilen ist die Klausel 
zur Klarnamenpflicht „nicht klar und 
verständlich” gewesen. Sie sei von „we- 
sentlichen Grundgedanken” hiesiger 
Gesetze abgewichen. Eine unangemes- 
sene Benachteiligung sei im Zweifel 
anzunehmen, wenn wesentliche Rechte 
oder Pflichten, die sich aus der Natur ei- 
nes Vertrags ergeben, so eingeschränkt 
werden, „dass die Erreichung des Ver- 
tragszwecks gefährdet ist”. 

Das Oberlandesgericht (OLG) Mün- 
chen hatte Facebook mit Urteil vom 
08.12.2020 im Recht gesehen und die 
Sperrung der zwei Nutzenden akzep- 
tiert, die ihr Profil unter Pseudonym 
geführt hatten (DANA 1/2021, 61). Der 
BGH hob beide Urteile teilweise auf und 
verurteilte Facebook beziehungsweise 
die Konzernmutter Meta im Verfahren 
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III ZR 3/21 dazu es zu dulden, dass der 
Kläger seinen Profilnamen in ein Pseud- 
onym ändert. Das Unternehmen muss es 
dem Kläger ermöglichen die Funktionen 
seines Kontos unter Pseudonym zu ver- 
wenden. 

Der BGH stützt sich auf 8 13 Abs. 6 des 
bis zum 30.11.2021 gültigen TMG. Dieser 
verpflichtete Anbieter die Nutzung ihrer 
Dienste „anonym oder unter Pseudonym 
zu ermöglichen, soweit dies technisch 
möglich und zumutbar ist“. Das An- 
fang Dezember 2021 in Kraft getretene 
Telekommunikations-Telemedien-Da- 
tenschutz-Gesetz schreibt diese Vorga- 
be fort (8 19 Abs. 2 TTDSG). Facebook 
sei es zwar nicht zumutbar gewesen die 
Inanspruchnahme des Netzwerks zu er- 
möglichen, ohne dass der jeweilige Nut- 
zer zuvor - etwa bei der Registrierung 
- im Innenverhältnis seinen Klarnamen 
mitgeteilt hatte. Für die anschließende 
Verwendung der angebotenen Dienste 
unter Pseudonym bejahten die Richter 
dagegen die Zumutbarkeit. Die Klarna- 
menpflicht falle hier „ersatzlos“ weg. 

Im Verfahren III ZR 4/21 verurteilte 
der BGH Facebook dazu das gesperrte 
Nutzerkonto der Klägerin freizuschalten 
und ihr „unbeschränkten Zugriff” auf 
die zugehörigen Funktionen zu gewäh- 
ren. Der Konzern könne von der anderen 
Partei nicht verlangen ihren Profilna- 
men in ihren wahren Namen zu ändern. 
Die Bestimmung zur Klarnamenpflicht 
in den hier maßgeblichen Nutzungs- 
bedingungen zum Stand 30.01.2015 
sei ebenfalls unwirksam. Dies habe das 
Landgericht Berlin bereits Anfang 2018 
in einem Verbandsklageverfahren her- 
ausgearbeitet (Az.: 16 O 341/15; DANA 
1/2018, 60 £.). 

In beiden Verfahren zog der BGH die 
alte EU-Datenschutzrichtlinie von 1995 
heran. Die DSGVO enthält zwar keine aus- 
drückliche Bestimmung zur anonymen 
oder pseudonymen Inanspruchnahme 
von Online-Diensten. Diese neuen Vor- 
gaben sind laut den Karlsruher Richtern 
aber nicht entscheidend gewesen, weil 
sie erst seit dem 25.05.2018 gelten. Für 
die Rechtslage komme es aber „auf den 
Zeitpunkt der Einbeziehung der jeweili- 
gen Allgemeinen Geschäftsbedingungen 
in das Vertragsverhältnis an“. 

Die BGH-Urteile gelten so zunächst 
nur für ältere Fälle. Das OLG München 
hatte argumentiert, die Bundesre- 
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gierung habe im Streit um die DSGVO 
auf europäischer Ebene vergeblich 
versucht ein Recht auf pseudonyme 
Nutzung in die Verordnung hinein zu 
verhandeln. Der deutsche Paragraf für 
Pseudonyme sei daher nun im Sinne 
des EU-Rechts auszulegen. Für Meta 
ist die BGH-Ansage ein Rückschlag. 
Der Konzern hatte sich vorab über- 
zeugt gezeigt, „dass Menschen mehr 
Verantwortung für ihre Aussagen und 
Handlungen übernehmen, wenn sie 
ihren echten Namen auf Facebook ver- 
wenden”. Facebook begründete seine 
Klarnamenpflicht u.a. damit, dass sie 
helfe Hass und Hetze zu reduzieren. 
Experten sind sich aber darüber einig, 
dass es zum Geschäftsmodell des sozi- 
alen Netzwerks gehört mehr kontrover- 
se Inhalte an die Nutzer auszuspielen 
als etwa sachliche Diskussionen. Die 
Plattform profitiert davon, wenn die 
Nutzer länger bleiben - und das tun 
sie eher bei kontroversen Inhalten. Die 
Gegner einer Pflicht sich mit seinem 
Klarnamen anzumelden, argumentie- 
ren grundsätzlicher: Für sie ist es eine 
Frage der freiheitlichen Ordnung, ob 
man sich anonym am Diskurs beteili- 
gen dürfe oder nicht. Wenn Facebook 
Klarnamen einfordere, verstoße das 
Unternehmen gegen den allgemeinen 
Grundsatz der Datensparsamkeit. 

Zuletzt hatte sich das EU-Parlament in 
seiner Position für den geplanten Digi- 
tal Services Act (DSA) dafür ausgespro- 
chen, dass Betreiber von Online-Platt- 
formen „angemessene Anstrengungen” 
unternehmen sollen, um die anonyme 
Nutzung und Bezahlung von Online- 
Diensten zu ermöglichen. Das Ampel- 
Regierungsbündnis setzt auf eine 
Login-Falle, um Täter zu identifizieren. 
Dabei sollen vor allem Betreiber sozia- 
ler Netzwerke wie Facebook und Twitter 
gemeinsam mit der Polizei eng zusam- 
menarbeiten, um Verdächtige und deren 
IP-Adresse zu ermitteln, sobald sie sich 
erneut einloggen. Ermittler könnten die 
Internetkennung dann mit Bestandsda- 
ten der Zugangsanbieter abgleichen und 
so deren Namen und Anschrift erhalten 
(s.o. S. 26, Martin-Jung, Max Muste- 
mann lebt, SZ 28.01.2022, 18; Krempl, 
BGH kippt Klarnamenpflicht: Facebook 
darf Pseudonyme nicht generell unter- 
sagen, www.heise.de 27.01.2022, Kurz- 
link: https://heise.de/-6340626). 


VG Wiesbaden 


Nutzung des US-Cloud- 
Dienstes Akamai vorläufig 
gestoppt 


Das Verwaltungsgericht (VG) Wiesba- 
den hat in einem Eilverfahren entschie- 
den, dass die staatliche Hochschule 
RheinMain den Dienst Cookiebot nicht 
länger auf ihrer Webseite www.hs-rm. 
de einbinden darf (Az. 6 L 738/21.WI). 
Der Cookiebot bittet Nutzer um Einwil- 
ligung in die Speicherung von Cookies 
auf ihrem Endgerät, über die Daten der 
Webseiten-Besucher auf Server eines 
US-Unternehmens übertragen werden. 

Ein Nutzer, der sich im Online-Katalog 
der Bibliothek der Hochschule regel- 
mäßig nach Fachliteratur erkundigte, 
hatte damit erfolgreich einen Unterlas- 
sungsantrag gestellt. Er monierte, dass 
der Einwilligungsmanager des däni- 
schen Anbieters Cybot Daten wie seine 
IP-Adresse auf einen Server des in den 
USA ansässigen Cloud-Unternehmens 
Akamai Technologies übermittle. Selbst 
wenn sich der entsprechende Server 
möglicherweise in der EU befinde, habe 
der US-Konzern Zugriff darauf, sodass 
der US-amerikanische Cloud Act mit 
breiten Abfragemöglichkeiten für US- 
Behörden greife. 

Diese Argumentation wurde von der 
zuständigen Kammer des VG mit drei 
Richtern geteilt: Da sich Akamais Zen- 
trale im US-Bundesstaat Massachusetts 
befindet, führe der Cookiebot zu einer 
nach der Datenschutz-Grundverord- 
nung (DSGVO) unzulässigen Übermitt- 
lung. Akamai unterliege dem Cloud Act, 
der US-Diensteanbieter dazu verpflich- 
tet „sämtliche in ihrem Besitz, Gewahr- 
sam oder ihrer Kontrolle“ befindlichen 
Daten offenzulegen, unabhängig vom 
Speicherort. Mit Blick auf die Schrems- 
II-Entscheidung des Europäischen 
Gerichtshofs (EuGH) vom 16.07.2020 
sei diese Praxis unzulässig (vgl. DANA 
3/2020, 199 ff.). Der Cookiebot bitte 
Nutzer nicht um Einwilligung zu einem 
Transfer persönlicher Informationen in 
die USA, und unterrichte sie nicht über 
die damit verbundenen Risiken. Verant- 
wortlich für die unmittelbar ausgelöste 
Erhebung und den Transfer an Akamai 
sei die Hochschule. 
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Mit der Entscheidung hat sich - soweit 
ersichtlich - erstmals ein deutsches Ge- 
richt mit dem Verhältnis zwischen dem 
Cloud Act und der DSGVO befasst. Es 
folgte dabei einschlägigen Ausführun- 
gen des Europäischen Datenschutzaus- 
schusses (EDSA) zum Schrems-Il-Urteil, 
mit dem der EuGH das Abkommen für 
den Privacy Shield zum Datentransfer in 
die USA gekippt hat. Die Richter sehen 
eine rechtfertigungsbedürftige Daten- 
übertragung bereits, wenn die Konzern- 
mutter eines Cloud-Anbieters in den 
USA sitzt. Dies ist nicht nur bei Akamai 
der Fall, sondern auch bei anderen 
Cloud-Größen wie Amazon, Microsoft, 
Google, Apple und Cloudflare. Sollte der 
Beschluss im Hauptverfahren bestätigt 
und in der Folge rechtskräftig werden, 
dürfte er weit über die Hochschule und 
den Cookiebot hinaus wirken. 

Die Bildungseinrichtung hatte sich 
auf eine Standardvertragsklausel, die 
zwischen Cybot und Akamai abge- 
schlossen worden sein soll, berufen. An 
Cybot werde nur die „anonymisierte” 
Internetkennung (letzte drei Ziffern auf 
Null gesetzt), Datum und Uhrzeit der 
Zustimmung, Nutzeragent des Brow- 
sers, die URL, ein anonymer, zufälliger 
und verschlüsselter Schlüssel sowie 
der Einwilligungsstatus übermittelt, 
meinte die Hochschule. Soweit für den 
Verbindungsaufbau zu den Servern eine 
ungekürzte IP-Adresse an Akamai über- 
tragen werde, werde diese nicht verar- 
beitet oder gespeichert. 

Der Antragsteller hielt dagegen, dass 
durch den Akamai-Server offenkundig 
Klardaten verarbeitet würden. Es könne 
sich höchstens um eine Transportver- 
schlüsselung handeln. Eine solche stelle 
keine ausreichende Schutzmaßnahme 
im Sinne der Schrems-Il-Entscheidung 
dar. Diese Ansicht wurde von einem 
Sachverständigen des Hessischen Da- 
tenschutzbeauftragten bestätigt. 

Das Gericht verwies auf eine Erklä- 
rung Cybots, wonach die IP-Adresse 
nicht anonymisiert werde. Selbst wenn 
der Cookie-Dienst nur bei einmaligem 
Laden die ungekürzte Internetkennung 
übertrage, handle es sich schon um 
eine „datenschutzrechtlich beachtliche 
Verarbeitung” eines personenbezoge- 
nen Datums. Der „anonyme“ Schlüs- 
sel schließe eine „Individualisierung” 
anhand der übrigen Daten nicht aus. 
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Der Nutzer könne identifiziert werden, 
auch wenn sein Name nicht bekannt 
sei. Damit handle es sich um ein perso- 
nenbeziehbares Datum. Eine endgültige 
Regelung bleibt dem Hauptverfahren 
vorbehalten. 

Jonas Breyer, Rechtsanwalt des An- 
tragstellers, nannte die Entscheidung 
„spektakulär“. Ein unzulässiger Daten- 
transfer liege damit auch bei Websei- 
ten-Plugins vor, die von einem Cloud- 
Dienst mit US-Bezug gehostet und 
geladen werden. Dies betreffe nicht 
zuletzt Werkzeuge Sozialer Netzwer- 
ke, Google Analytics, reCAPTCHA oder 
YouTube, US-Videokonferenzdienste 
sowie andere Online-Funktionen von 
US-Anbietern. 

Das VG stelle klar, dass der Personen- 
bezug von Cookies immer im Kontext 
weiterer, meist umfangreich vorlie- 
gender Daten zu beurteilen sei. Zuvor 
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(tw) Das Gesundheitswesen ist einer 
der Sektoren, in denen derzeit die Pra- 
xis wie Regulierung der Datenverarbei- 
tung besonders dramatische Entwick- 
lungen durchmacht. Krankenhäuser 
sind Opfer von Ransomware-Angriffen; 


habe der EuGH ausgeführt, dass für eine 
rechtmäßige Übertragung in die USA 
Standardvertragsklauseln um geeignete 
zusätzliche technische und organisato- 
rische Maßnahmen wie Verschlüsselung 
ergänzt werden müssten. Die gängigen 
US-Anbieter verzichten bisher in der 
Regel auf solche Absicherungen. Ihre 
Dienste seien daher, so der Anwalt „re- 
gelmäßig nicht rechtskonform nutz- 
bar“. Rechtlich seien sogar Arbeitgeber 
verantwortlich, die ihre Beschäftigten 
mit einschlägigen Diensten hantie- 
ren lassen. Als mögliche Lösung sieht 
Breyer - neben durchgehender Ver- 
schlüsselung - Treuhandansätze, wie 
sie Microsoft mit T-Systems ausprobiert 
habe und Google auflegen wolle (Krem- 
pl, Gericht: Deutsche Webseiten dürfen 
keine US-Cookies setzen, www.heise.de 
08.12.2021, Kurzlink: https://heise. 
de/-6288818). 


Buchbesprechungen 


Ex-Gesundheitsminister Spahn brach- 
te ein Gesetz nach dem anderen durch 
die letzte Legislaturperiode. Das von 
Benedikt Buchner herausgegebene Lo- 
seblattwerk ist darauf angelegt diese 
aktuellen Entwicklungen nachzuzeich- 
nen. Nachdem das Werk seine Kinder- 
krankheiten (DANA 2/2012, 98) abge- 
legt hat, deckte die Informations- und 
Materialsammlung schon vor einigen 
Jahren tatsächlich alle Bereiche des 
Gesundheitswesens ab mit seinen vie- 
len Verästelungen, etwa dem Internet- 
oder dem Informationssicherheitsrecht 
(DANA 3/2017, 181). Das Werk ist auch 
Grundlage für eine - reduzierte - ge- 
bundene Ausgabe für Leute, die sich 
in diesen Bereich einarbeiten wollen 
(DANA 2/2018, 122 u. 2/2019, 114). 
Derweil wird die inzwischen voll- 
ständige Abdeckung des Gesundheits- 
bereichs durch Neubearbeitungen in 
der Loseblattsammlung sukzessive auf 
einen neuen Stand gebracht, so nun 
jüngst der Krankenhaussektor durch die 
bei der Landesdatenschutzbeauftragten 
Bremen tätige Maren Pollmann, zuvor zur 
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Datenschutzorganisation (Kapitel B), zu 
den rechtlichen Grundlagen (Kapitel A, 
bearbeitet durch den Herausgeber) oder 
zur II-Sicherheit. Die Texte wurden um- 
fassend an die DSGVO angepasst. 

Richtete sich das Ursprungswerk noch 
stark an den Praktiker, der keine Not- 
wendigkeit sieht, durch weitergehende 
Literatur die Erkenntnisse zu vertiefen, so 
enthalten die Texte zunehmend Referen- 
zen zu weitergehenden Quellen. Dies ist 
bei dieser komplexen Materie auch nötig. 
Diese Angaben werden aber nur sehr ge- 
zielt und sparsam eingesetzt, so dass Ir- 
ritationen über Darstellungen juristischer 
Streitstände u.Ä. vermieden werden und 
der Blick aufs Wesentliche gewahrt bleibt. 
Durch Darstellungen spezifischer Fallge- 
staltungen, von Urteilen und Aufsichts- 
behördenpositionen, Hilfen und Verwei- 
sen wird die an der Praxis ausgerichtete 
Grundtendenz unterstrichen. 

Für den Praktiker ist die Loseblatt- 
sammlung dadurch eine gute Grundla- 
ge und zugleich Fundgrube. Wegen der 
separaten Darstellung einzelner Anwen- 
dungsbereiche durch unterschiedliche 
Autorinnen und Autoren ließ es sich of- 
fenbar nicht vermeiden, dass es in den 
einzelnen Kapiteln zu Redundanzen 
kommt. Dies hat zwangsläufig zur Fol- 
ge, dass die Übersichtlichkeit bei ein- 
zelnen Fragestellungen leidet und man 
unter Umständen zu einer Fragestellung 
Auskünfte an mehreren Stellen suchen 
muss und auch finden wird. 

Dadurch leidet aber der Nutzen nicht. 
Ein auch in der aktuellsten Nachliefe- 
rung mitgesendeter Index hilft bei der 
Suche. Praktikern, insbesondere Daten- 
schutzbeauftragten, ist das Werk warm 
zu empfehlen. 


Polizeirecht - 

Entgrenzung und Protest 
Bürgerrechte & Polizei/CILIP 127 
(Dezember 2021) 

ISSN 0932-5409 


(ha) Schon seit 1978 gibt es den Infor- 
mationsdienst „Bürgerrechte & Polizei”, 
dessen damaliges Ziel es war „sich nicht 
nur mit wissenschaftlichen Methoden 
den ‚Apparaten Innerer Sicherheit‘ zu 
widmen, ... sondern zugleich Daten und 
Dokumente ... für die Öffentlichkeit dau- 
erhaft zugänglich zu machen“ (S. 4). Die- 
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ser Aufgabe kommt der „Newsletter on ci- 
villiberties & police” (CILIP) heute immer 
noch nach. Auch in der aktuellen Ausga- 
be veröffentlicht CILIP (S. 70 ff.) die Liste 
der 15 polizeilichen Todesschüsse in 2020 
mit je einer kurzen Fallbeschreibung. Die 
Todesschüsse werden von dem Berliner 
Journalisten Otto Diederichs eingeord- 
net in die Zahlen der gesamten offiziel- 
len Schusswaffengebrauchsstatistik der 
deutschen Polizeibehörden und ergänzt 
um kurze Stellungnahmen, wie beispiels- 
weise die zur Zunahme der unbeabsich- 
tigten Schussabgaben. „Deren Zahl stieg 
von 11 im Jahr 2018 über 56 in 2019 auf 
nunmehr 98 im vergangenen Jahr. Da 
läuft etwas schief!“ (S. 71). Die seit 1976 
von CILIP gesammelten Daten über tödli- 
che Polizeischüsse wurden jetzt - so der 
Beitrag von Johannes Filter und Matthias 
Monroy - neu sortiert und auf der Web- 
seite https://polizeischuesse.cilip.de 
dargestellt: „Mit unserer neuen Übersicht 
können wir die These stützen, dass eine 
beträchtliche Zahl von psychisch beein- 
trächtigten Menschen Opfer von Polizei- 
schüssen werden.” (S. 77) 

Insgesamt widmet sich das aktuelle 
Heft 127 allerdings schwerpunktmäßig 
der Polizeipolitik der Bundesländer in 
den letzten fünf Jahren. Dazu rich- 
ten Eric Töpfer und Marius Kühne den 
Fokus auf die Verschärfungen des Po- 
lizeirechts, mit dem von Bayern über 
Hessen und Rheinland-Pfalz bis Meck- 
lenburg-Vorpommern neue Befugnisse 
eingeführt wurden. Bereits bestehende 
Befugnisse wie Videoüberwachung und 
Schleierfahndung wurden erweitert 
und die Waffenkataloge beispielsweise 
um Taser ergänzt. Der Beitrag ordnet 
die Entwicklung ein und schließt mit 
den Worten: „Wer erwartet, dass im Ge- 
genzug zur Ausweitung polizeilicher 
Kompetenzen wirksame Mechanismen 
zur Kontrolle der Anwendung dieser Be- 
fugnisse geschaffen würden, wird ent- 
täuscht.” (S. 16) 

Hier können nicht alle Beiträge auf- 
geführt werden, so dass nur darauf hin- 
gewiesen sei, dass weitere Artikel eine 
„Bilanz der Proteste gegen verschärfte 
Polizeigesetze” (S. 17 ff.) ziehen und 
die Erfolge der Mobilisierung gegen 
das Bayerische Polizeiaufgabengesetz 
(S. 34 ff.) bewerten. Der Staats- und 
Verwaltungsrechts-Professor Clemens 
Arzt schließlich analysiert die Umset- 


zung der europäischen JI-Richtlinie 
in deutsches Polizeirecht (S. 43 ff.); 
die Fachanwältin Anna Busl widmet 
sich der Problematik von „Gefährdern” 
und der Politikwissenschaftler Florian 
Krahmer betrachtet „Gefährliche Orte 
und die Definitionsmacht der Polizei- 
behörden”. 

Das CILIP-Heft 127 enthält (wieder) 
Artikel für Artikel spannende und teils 
wütend machende Fakten und Ana- 
lysen aus dem Bereich „Bürgerrechte 
und Polizei”. Die Lektüre wird den Le- 
serinnen und Lesern dieser Zeitschrift 
dringend empfohlen! 


Compliance- 
Management- 
Systeme 


Praxiserprobte Elements 
Proresse und Tools 


Bay, Karl-Christian; Hastenrath, 
Katharina (Hrsq.) 
Compliance-Management-Systeme. 
Praxiserprobte Elemente, Prozesse 
und Tools 

3. neu bearb. Aufl., Verlag C.H.Beck, 
München 2022; 318 S., 79,- €; Teil der 
Reihe: Compliance für die Praxis. 
ISBN 978 3 406 88018 0 


(hdn) Die Autoren dieses Werkes, 
einschließlich der Herausgeber, stam- 
men aus der Wissenschaft und aus der 
Praxis des Compliance-Managements. 
Dem Praxisbezug wird hohes Gewicht 
beigemessen. Zielgruppe sind Compli- 
ance-Verantwortliche des Mittelstands 
und der Großunternehmen. Die In- 
haltsübersicht umfasst bis auf ein Ab- 
bildungsverzeichnis alle wesentlichen 
Merkmale eines wissenschaftlichen 
Ansprüchen genügenden Buches. 

Die Gliederung orientiert sich weit- 
gehend an den Komponenten des IDW 
PS 980 sowie den ISO-Compliance- 
Standards und beinhaltet in den mit 
Paragrafen nummerierten Kapiteln die 
Themen 
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« Compliance-Kultur, in dem auf die 
Unternehmenskultur als Basis der 
Compliance-Kultur hingewiesen wird, 
die sich durchaus auch mal an den 
Unternehmenszielen „reiben“ kann 
und z. B. auch Begriffe wie Diversität 
oder Change Management umfasst; 


Compliance-Ziele, die idealerweise 
in den Unternehmenszielen einge- 
bettet sein und deren Abweichung 
ggf. sanktioniert werden sollte; 


Compliance-Risiken, das als eines 
der umfassenderen Kapitel die Maß- 
nahmen von der Risiko-Identifikati- 
onüber deren Bewertung hin zu Risi- 
kosteuerung und Berichterstattung 
beinhaltet; 


Compliance-Programm, in dem auch 
auf die aktuelle Gesetzeslage (Ver- 
SanG-E, Whistleblower-Richtlinie) 
eingegangen wird und eine Viel- 
zahl von grafisch hervorgehobenen 
Beispielen angeboten werden; in 
diesem recht umfassenden Kapitel 
(40 S.) widmet sich die Autorin auch 
dem Thema Digitalisierung und der 
Homeoffice-Problematik; 


Compliance-Organisation, in dem 
von der organisatorischen Gestal- 
tung bis zur Besetzung des Compli- 
ance-Verantwortlichen alle wesentli- 
chen Einrichtungen und Regelungen 
behandelt werden; 


Compliance-Kommunikation, das als 
eines der wichtigsten Themen auch das 


In allen Kapiteln wird intensiv auf 
die jeweiligen Komponenten der Com- 
pliance eingegangen, wobei, und das 
macht der Werk sehr wertvoll, mit pra- 
xisnahen Vorschlägen an die jeweili- 
gen Lösungen herangegangen wird. 
Besonders in den Kapiteln über die 
Programme zur Compliance und zur 
Kommunikation wird sehr eingehend 
die praktische Umsetzbarkeit veran- 


schaulicht. Hilfreiche Abbildungen, 
Tabellen, Übersichten finden sich im 
gesamten Buch. 

Als Nicht-Jurist habe ich das Buch gern 
und mit Interesse gelesen. Die Autoren 
verzichten wohltuend auf die sonst übli- 
chen juristischen Begriffskompositionen. 
Das Werk kann man daher durchaus als 
Hand- und Lehrbuch verstehen; tatsäch- 
lich wird es auch in der Lehre eingesetzt. 
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umfassendste Kapitel darstellt und in 
dem die logisch aufgebauten Kommuni- 
kationsphasen detailliert beschrieben 
und unter anderem deren Alternativen 
mit ihren Vor- und Nachteilen aufge- 
zeigt werden. Interessierte finden hier 
einen Vorschlag zur Entwicklung eines 
eigenen Compliance-Videoclips. 


MICH NERVT ES, WENN MAN MICH FÜR 
BESTIMMTE ZWECKE IMMER ZUR BENUT- 
ZUNG EINES SMARTPHONES DRÄNGT, 
OB ES DAS ZEIGEN EINES IMPFAUSWEI- 
SES IST, DAS KAUFEN EINES BAHN- 
TICKETS IM ZUG ODER DAS ABHOLEN 
EINES PAKETS AN DER PACKSTATION. 


NAJA, MAN GEHT DAVON AUS, DASS DU 
DEINEN „PEILSENDER" IMMER DABEI HAST 
UND BEKOMMT SO DEINE STANDORTDATEN 

FÜR BEWEGUNGSPROFILE UND WEITERE 

INTERESSANTE DATEN, SOFERN IN DEN 

APPS DIE DAZU RELEVANTEN BERECHTI- 

GUNGEN NICHT DEAKTIVIERT SIND. 


Die letzten vier Kapitel widmen sich 
der Überwachung und Verbesserung, 
der Effektivität der Compliance-Ma- 
nagement-Systeme, deren Relevanz 
und last but not least dem Status Quo 
der Compliance aus Sicht der Wirt- 
schaftsprüfer. Auf die Compliance von 
Datenschutzgesetzen geht das Werk 
nicht dediziert ein. 
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| 


iele Staaten wollen für die 
„Sicherheit“ immer mehr 
“ wissen über das Leben ihrer 
Bewohner. 


Wie dasungezügelte Streben 
nach Erkenntnis enden kann 
istin der Bibel nachzulesen. 


